como desabilitar arquivos de log para login root?

Question

Filtrando os registros

Acredito que você pode lidar com alguns dos logs usando um filtro dentro do rsyslog. Especificamente, você precisará adicionar um filtro a um arquivo de configuração em /etc/rsyslog.d/.

Para mensagens como esta /var/log/secure(no Fedora 19, por exemplo):

Jun 28 13:28:18 greeneggs login: pam_unix(login:session): session opened for user saml by LOGIN(uid=0)
Jun 28 13:28:19 greeneggs login: LOGIN ON tty2 BY saml

Você poderia usar um filtro como este para omiti-los:

se $syslogfacility-text == 'local0' e $msg começar com 'login' e ($msg contém 'root') então /dev/null

OBSERVAÇÃO:Acima não foi testado, mas é apenas um exemplo para mostrar como você pode abordar isso, aproximadamente.

Filtrando wtmp e btmp

Esses arquivos são arquivos binários e, portanto, você não pode simplesmente editá-los usando ferramentas padrão como sede awk. Se você realmente deseja editá-los, você terá que editá-los cronperiodicamente. Não consegui encontrar nenhum método para impedir que usuários fossem adicionados a qualquer arquivo durante o login.

trecho doPágina Utmp da Wikipédia

utmp, wtmp e btmp

utmpmantém uma contabilidade completa do status atual do sistema, tempo de inicialização do sistema (usado pelo tempo de atividade), registrando logins de usuários em quais terminais, logouts, eventos do sistema, etc.

wtmpatua como um utmp histórico

btmpregistra tentativas de login malsucedidas

O utmparquivo não é um arquivo de texto, mas sim um formato binário que precisa ser editado por programas especialmente criados. A implementação e os campos presentes no arquivo diferem dependendo do sistema ou da versão da libc, e são definidos no utmp.harquivo de cabeçalho.

O formato wtmpe btmpé exatamente igual, utmpexceto que um nome de usuário nulo indica um logout no terminal associado. Além disso, o nome do terminal ~ com nome de usuário shutdown ou reboot indica um desligamento ou reinicialização do sistema e o par de nomes de terminais/registra a hora do sistema antigo/novo quando a data o altera.

Para aumentar esses arquivos você poderia usar o módulo Perl,Usuário::Utmppara modificar esses arquivos. Python também possui um módulo semelhante.

Referências

Answer 1

Filtrando os registros

Acredito que você pode lidar com alguns dos logs usando um filtro dentro do rsyslog. Especificamente, você precisará adicionar um filtro a um arquivo de configuração em /etc/rsyslog.d/.

Para mensagens como esta /var/log/secure(no Fedora 19, por exemplo):

Jun 28 13:28:18 greeneggs login: pam_unix(login:session): session opened for user saml by LOGIN(uid=0)
Jun 28 13:28:19 greeneggs login: LOGIN ON tty2 BY saml

Você poderia usar um filtro como este para omiti-los:

se $syslogfacility-text == 'local0' e $msg começar com 'login' e ($msg contém 'root') então /dev/null

OBSERVAÇÃO:Acima não foi testado, mas é apenas um exemplo para mostrar como você pode abordar isso, aproximadamente.

Filtrando wtmp e btmp

Esses arquivos são arquivos binários e, portanto, você não pode simplesmente editá-los usando ferramentas padrão como sede awk. Se você realmente deseja editá-los, você terá que editá-los cronperiodicamente. Não consegui encontrar nenhum método para impedir que usuários fossem adicionados a qualquer arquivo durante o login.

trecho doPágina Utmp da Wikipédia

utmp, wtmp e btmp

utmpmantém uma contabilidade completa do status atual do sistema, tempo de inicialização do sistema (usado pelo tempo de atividade), registrando logins de usuários em quais terminais, logouts, eventos do sistema, etc.

wtmpatua como um utmp histórico

btmpregistra tentativas de login malsucedidas

O utmparquivo não é um arquivo de texto, mas sim um formato binário que precisa ser editado por programas especialmente criados. A implementação e os campos presentes no arquivo diferem dependendo do sistema ou da versão da libc, e são definidos no utmp.harquivo de cabeçalho.

O formato wtmpe btmpé exatamente igual, utmpexceto que um nome de usuário nulo indica um logout no terminal associado. Além disso, o nome do terminal ~ com nome de usuário shutdown ou reboot indica um desligamento ou reinicialização do sistema e o par de nomes de terminais/registra a hora do sistema antigo/novo quando a data o altera.

Para aumentar esses arquivos você poderia usar o módulo Perl,Usuário::Utmppara modificar esses arquivos. Python também possui um módulo semelhante.

como desabilitar arquivos de log para login root?

Responder1

Filtrando os registros

Filtrando wtmp e btmp

utmp, wtmp e btmp

Referências

informação relacionada