auth.log に cron イベントを記録しない

Question 1

攻撃者がログに記録されたメッセージの一部を制御できる場合、メッセージの内容をフィルタリングすることでイベントを隠すことができます。

あるいは、次のようにしてプロセス CRON からのメッセージをフィルタリングすることもできます。

#Continue logging CRON to syslog
*.*;auth,authpriv.none          -/var/log/syslog
#Filter events from the process CRON out of auth.log
:programname, isequal, "CRON" ~
auth,authpriv.*                 /var/log/auth.log

CRON イベントをログに記録したくない場合は、フィルター行をの先頭に置くことができますrsyslog.conf。

Answer

攻撃者がログに記録されたメッセージの一部を制御できる場合、メッセージの内容をフィルタリングすることでイベントを隠すことができます。

あるいは、次のようにしてプロセス CRON からのメッセージをフィルタリングすることもできます。

#Continue logging CRON to syslog
*.*;auth,authpriv.none          -/var/log/syslog
#Filter events from the process CRON out of auth.log
:programname, isequal, "CRON" ~
auth,authpriv.*                 /var/log/auth.log

CRON イベントをログに記録したくない場合は、フィルター行をの先頭に置くことができますrsyslog.conf。

Question 2

あなたが探しているのはこれだと思います:

:msg, contains, "pam_unix(cron:session)" ~
auth,authpriv.* /var/log/auth.log

最初の行は cron auth イベントと一致し、それらを削除します。次に、2 行目は、以前に削除された行を除いて、ルールに従ってログに記録します。

Answer

あなたが探しているのはこれだと思います:

:msg, contains, "pam_unix(cron:session)" ~
auth,authpriv.* /var/log/auth.log

最初の行は cron auth イベントと一致し、それらを削除します。次に、2 行目は、以前に削除された行を除いて、ルールに従ってログに記録します。

Question 3

私の場合、これが不正行為の原因でした。https://languor.us/cron-pam-unix-cron-session-session-opened-closed-user-root-uid0

ここに述べられている通り:https://askubuntu.com/a/280255/366528 この1行を追加する

session [success=1 default=ignore] pam_succeed_if.so service in cron quiet use_uid

ダミーのcronエントリを削除しました

Answer

私の場合、これが不正行為の原因でした。https://languor.us/cron-pam-unix-cron-session-session-opened-closed-user-root-uid0

ここに述べられている通り:https://askubuntu.com/a/280255/366528 この1行を追加する

session [success=1 default=ignore] pam_succeed_if.so service in cron quiet use_uid

ダミーのcronエントリを削除しました

auth.log に cron イベントを記録しない

答え1

答え2

答え3

関連情報