auth.logにcronイベントを記録しないでください。

Question 1

攻撃者が記録されたメッセージの一部を制御できる場合は、メッセージの内容をフィルタリングしてイベントを隠すことができます。

または、次のコマンドを使用して、CRONプロセスでメッセージをフィルタリングできます。

#Continue logging CRON to syslog
*.*;auth,authpriv.none          -/var/log/syslog
#Filter events from the process CRON out of auth.log
:programname, isequal, "CRON" ~
auth,authpriv.*                 /var/log/auth.log

CRONイベントが記録されたくない場合は、フィルタ行をrsyslog.conf。

Answer

攻撃者が記録されたメッセージの一部を制御できる場合は、メッセージの内容をフィルタリングしてイベントを隠すことができます。

または、次のコマンドを使用して、CRONプロセスでメッセージをフィルタリングできます。

#Continue logging CRON to syslog
*.*;auth,authpriv.none          -/var/log/syslog
#Filter events from the process CRON out of auth.log
:programname, isequal, "CRON" ~
auth,authpriv.*                 /var/log/auth.log

CRONイベントが記録されたくない場合は、フィルタ行をrsyslog.conf。

Question 2

私はこれがあなたが探しているものだと思います：

:msg, contains, "pam_unix(cron:session)" ~
auth,authpriv.* /var/log/auth.log

最初の行は cron 認証イベントを照合して削除します。その後、ルールに従って、以前に削除された行以外の2行目が記録されます。

Answer

私はこれがあなたが探しているものだと思います：

:msg, contains, "pam_unix(cron:session)" ~
auth,authpriv.* /var/log/auth.log

最初の行は cron 認証イベントを照合して削除します。その後、ルールに従って、以前に削除された行以外の2行目が記録されます。

Question 3

私にとって、これは間違った行動の原因です。https://languor.us/cron-pam-unix-cron-session-session-opened-close-user-root-uid0

ここで指定されているように：https://askubuntu.com/a/280255/366528 この行を追加してください

session [success=1 default=ignore] pam_succeed_if.so service in cron quiet use_uid

そのダミーcronエントリを削除しました。

Answer

私にとって、これは間違った行動の原因です。https://languor.us/cron-pam-unix-cron-session-session-opened-close-user-root-uid0

ここで指定されているように：https://askubuntu.com/a/280255/366528 この行を追加してください

session [success=1 default=ignore] pam_succeed_if.so service in cron quiet use_uid

そのダミーcronエントリを削除しました。

auth.logにcronイベントを記録しないでください。

答え1

答え2

答え3

関連情報