AskOverflow.Dev

AskOverflow.Dev Logo AskOverflow.Dev Logo

AskOverflow.Dev Navigation

  • 主页
  • 系统&网络
  • Ubuntu
  • Unix
  • DBA
  • Computer
  • Coding
  • LangChain

Mobile menu

Close
  • 主页
  • 系统&网络
    • 最新
    • 热门
    • 标签
  • Ubuntu
    • 最新
    • 热门
    • 标签
  • Unix
    • 最新
    • 标签
  • DBA
    • 最新
    • 标签
  • Computer
    • 最新
    • 标签
  • Coding
    • 最新
    • 标签
主页 / unix / 问题 / 784384
Accepted
Vlastimil Burián
Vlastimil Burián
Asked: 2024-10-02 19:49:54 +0800 CST2024-10-02 19:49:54 +0800 CST 2024-10-02 19:49:54 +0800 CST

dmesg 日志被审计淹没,我能以某种方式阻止它吗?

  • 772

我正在使用 Transmission GTK 进行种子下载。我的 dmesg 日志被审计淹没了,不知道它有什么用,我甚至都不太在意,我不能将 dmesg 用于其他用途。它淹没得太快了,我甚至无法进行文本选择……因此,请允许我为这张图片道歉:

dmesg 审计洪水攻击

我使用的是 Linux Mint 22 Cinnamon,所以这个问题并不能真正回答我的需要。

linux-mint
  • 1 1 个回答
  • 28 Views

1 个回答

  • Voted
  1. Best Answer
    KDM
    2024-10-02T23:26:21+08:002024-10-02T23:26:21+08:00

    首先要说几点。您正在使用带有 App Armor 的 Transmission GTK。并且 AppArmor 正在生成这些消息。默认情况下,它将转到 dmesg。无法更改这一点。

    其次,根据提供的屏幕截图,似乎正在运行的 auditd 服务尚未配置 apparmour 功能。这就是您在名称和其他字段中获得所有数值的原因。这让您感到很不舒服。请参阅此链接了解更多信息。它适用于 Mint 以外的发行版,但也适用于您的情况。要解决此问题,请在 Mint 支持论坛中提出讨论并提供相关详细信息,并询问他们如何使用 apparmour 功能配置 auditd 服务。附上相同的屏幕截图并要求他们用相关文本值替换数值。

    第三,也是最后一点,您提供的问题链接有一些很好的建议。请看看这些建议是否有效。

    现在我假设您不想禁用 auditd 服务。如果您正在考虑这样做,请不要这样做。您可以探索运行不带 App Armor 的 Transmission GTK 的选项,但这会降低您的在线安全性。

    最后,当 App Armor 运行 Transmission GTK 时,可能有一种方法可以停止来自 App Armor 的审计消息。这不是完全可靠的,但可能有效。运行以下命令之一。最好使用第二个命令。

    auditctl -A exclude,never -F pid=20279
    

    或者

    auditctl -A exclude,never -F path=Replace_This_With_Absolute_Path_To_TransmissionGTK
    

    将 20279 替换为 Transmission GTK 进程的进程 ID。如果您使用第二个命令,请提供 Transmission GTK 的绝对路径。

    强烈建议您使用第二个命令。如果它不起作用,则使用第一个。

    命令说明

    • -A = 这将在现有规则的开头添加一条规则。

      排除=过滤掉你不想看到的事件

      never = 不会生成任何审计记录

      -F = 建立规则。最多可以链接 64 个不同的规则。一个接一个。

      pid = 根据 PID 过滤规则。这很危险,因为进程 ID 会在重新启动或 Transmission GTK 关闭时发生变化。

      20279 = 此值是我从您附加的屏幕截图中获取的。必须将其替换为 Transmission GTK 的实际进程 ID。

      path = 根据绝对路径过滤规则。

    auditd 的手册页中提供了更多详细信息。请仔细阅读。会对你有所帮助。

    完成调查后,您不需要过滤来自 Transmission GTK 的审计消息,请执行以下命令删除规则

    auditctl -d exclude,never -F pid=20279
    

    或者

    auditctl -d exclude,never -F path=Replace_This_With_Absolute_Path_To_TransmissionGTK
    

    根据您实施的规则。将 20279 和 Replace_This_With_Absolute_Path_To_TransmissionGTK 替换为相关值。


    编者注:

    • 我必须根据手册页修改命令(并且它现在在重启后似乎可以工作):

      # auditctl -a exclude,never -F exe=/usr/bin/transmission-gtk
      
    • 不过,这条规则似乎无法在重启后继续存在。

    • 我应该说,它一开始就告诉我,我没有auditd安装。所以,我自然而然地安装了它。我没有想到的是它本身就解决了问题,也许它确实解决了,因为在另一次重启后,我没有看到任何与 Transmission GTK 相关的消息dmesg!

    • 1

相关问题

  • 在 Linux Mint 上更新 libinput

  • linux java -version 仅适用于 root 用户[关闭]

  • 在 Linux Mint 上用 LightDM 替换 MDM 的正确程序是什么?

  • Linux Mint 内核损坏

  • Synaptic 包管理器文件设置

Sidebar

Stats

  • 问题 205573
  • 回答 270741
  • 最佳答案 135370
  • 用户 68524
  • 热门
  • 回答
  • Marko Smith

    模块 i915 可能缺少固件 /lib/firmware/i915/*

    • 3 个回答
  • Marko Smith

    无法获取 jessie backports 存储库

    • 4 个回答
  • Marko Smith

    如何将 GPG 私钥和公钥导出到文件

    • 4 个回答
  • Marko Smith

    我们如何运行存储在变量中的命令?

    • 5 个回答
  • Marko Smith

    如何配置 systemd-resolved 和 systemd-networkd 以使用本地 DNS 服务器来解析本地域和远程 DNS 服务器来解析远程域?

    • 3 个回答
  • Marko Smith

    dist-upgrade 后 Kali Linux 中的 apt-get update 错误 [重复]

    • 2 个回答
  • Marko Smith

    如何从 systemctl 服务日志中查看最新的 x 行

    • 5 个回答
  • Marko Smith

    Nano - 跳转到文件末尾

    • 8 个回答
  • Marko Smith

    grub 错误:你需要先加载内核

    • 4 个回答
  • Marko Smith

    如何下载软件包而不是使用 apt-get 命令安装它?

    • 7 个回答
  • Martin Hope
    user12345 无法获取 jessie backports 存储库 2019-03-27 04:39:28 +0800 CST
  • Martin Hope
    Carl 为什么大多数 systemd 示例都包含 WantedBy=multi-user.target? 2019-03-15 11:49:25 +0800 CST
  • Martin Hope
    rocky 如何将 GPG 私钥和公钥导出到文件 2018-11-16 05:36:15 +0800 CST
  • Martin Hope
    Evan Carroll systemctl 状态显示:“状态:降级” 2018-06-03 18:48:17 +0800 CST
  • Martin Hope
    Tim 我们如何运行存储在变量中的命令? 2018-05-21 04:46:29 +0800 CST
  • Martin Hope
    Ankur S 为什么 /dev/null 是一个文件?为什么它的功能不作为一个简单的程序来实现? 2018-04-17 07:28:04 +0800 CST
  • Martin Hope
    user3191334 如何从 systemctl 服务日志中查看最新的 x 行 2018-02-07 00:14:16 +0800 CST
  • Martin Hope
    Marko Pacak Nano - 跳转到文件末尾 2018-02-01 01:53:03 +0800 CST
  • Martin Hope
    Kidburla 为什么真假这么大? 2018-01-26 12:14:47 +0800 CST
  • Martin Hope
    Christos Baziotis 在一个巨大的(70GB)、一行、文本文件中替换字符串 2017-12-30 06:58:33 +0800 CST

热门标签

linux bash debian shell-script text-processing ubuntu centos shell awk ssh

Explore

  • 主页
  • 问题
    • 最新
    • 热门
  • 标签
  • 帮助

Footer

AskOverflow.Dev

关于我们

  • 关于我们
  • 联系我们

Legal Stuff

  • Privacy Policy

Language

  • Pt
  • Server
  • Unix

© 2023 AskOverflow.DEV All Rights Reserve