自分の管轄外の CentOS 6(?) サーバーなんですが、自課の主業務で接続するサーバーのエラーログを覗きに行ったら、auditd のエラーログで埋め尽くされていました。grep -v すれば良いのですが、ログファイルがガンガン肥大化するんで auditd の出力を止めることにしました。
1. そもそも auditd なんて使ってんの?
ログファイルがでかくなっているにもかかわらずアクションを起こした痕跡がないサーバーなわけで、改ざん検知する auditd なんて使ってんのか?という疑問が湧いたので、/etc/init.d/auditd status で見ると stop してました。
stop してる auditd のログが大量にあるのは無駄なので、心置きなくログ出力を止めちゃって良さそうです。auditd が入っている理由は色々考えられますが、考えないで起きましょう。
2. audit.conf で黙らせる設定。
auditctl -e 0 で「ちょっと黙ってろ」設定をかけたんですが、時間を少し置くとログへの出力が復活するので /etc/audit/audit.rules で -D をコメントアウト、-e 0 を追記しました。が、「最近のシステムは設定ファイルが分散管理されているんじゃ」と思い、/etc/audit/rules.d/audit.rules も同様に修正しました。
さらに、rsyslog も絡んでいるっぽいので、先人の教えに従って /etc/rsyslog.conf の
#*.info;mail.none;authpriv.none;cron.none /var/log/messages
を
*.notice;mail.none;authpriv.none;cron.none /var/log/messages
へ変更しました。
サービス類をリスタート、しばらく /var/log/messages を監視したところログ出力が止まったことを確認しました。
3. audit ってなんだんだよ
LSMを使うファイル監視システム的なものらしい、程度のふわっとした印象しか無くて(ほとんど知らないに等しい)、そもそもLSM自体に興味がありませんでした。なんかあんまり良く言われてないねー、近づきたくないねーという感じで。
セキュリティの問題は根が深い気がするので、必要が出るまでは触れたくないです。
