Auditctl – filtragem de mensagens cron

Estou usando o auditctl e ganhe muitos events de log paira o Crond. Eu não desejo registrair nenhum evento cron / crond.

node=127.0.0.1 type=CRED_DISP msg=audit(1405678801.149:5571): user pid=1757 uid=0 auid=0 subj=system_u:system_r:crond_t:s0-s0:c0.c1023 msg='PAM: setcred acct="root" : exe="/usr/sbin/crond" (hostname=?, addr=?, terminal=cron res=success)' node=127.0.0.1 type=USER_END msg=audit(1405678801.150:5572): user pid=1757 uid=0 auid=0 subj=system_u:system_r:crond_t:s0-s0:c0.c1023 msg='PAM: session close acct="root" : exe="/usr/sbin/crond" (hostname=?, addr=?, terminal=cron res=success)' node=127.0.0.1 type=USER_ACCT msg=audit(1405678921.158:5573): user pid=2017 uid=0 auid=4294967295 subj=system_u:system_r:crond_t:s0-s0:c0.c1023 msg='PAM: accounting acct="root" : exe="/usr/sbin/crond" (hostname=?, addr=?, terminal=cron res=success)' node=127.0.0.1 type=CRED_ACQ msg=audit(1405678921.158:5574): user pid=2017 uid=0 auid=4294967295 subj=system_u:system_r:crond_t:s0-s0:c0.c1023 msg='PAM: setcred acct="root" : exe="/usr/sbin/crond" (hostname=?, addr=?, terminal=cron res=success)' node=127.0.0.1 type=LOGIN msg=audit(1405678921.159:5575): login pid=2017 uid=0 old auid=4294967295 new auid=0 old ses=4294967295 new ses=102 node=127.0.0.1 type=USER_START msg=audit(1405678921.167:5576): user pid=2017 uid=0 auid=0 subj=system_u:system_r:crond_t:s0-s0:c0.c1023 msg='PAM: session open acct="root" : exe="/usr/sbin/crond" (hostname=?, addr=?, terminal=cron res=success)' 

No meu audit.rules eu tenho:

  -a exit,neview -F path=/usr/sbin/crond 

Mas pairece que está registrando os events de login paira a raiz, que então executa o cron. Eu não posso filtrair globalmente USER_START , USER_ACCT etc., pois eu preciso desses paira outros users.

Atualizair:

Eu acredito em http://linux.die.net/man/8/auditctl que a pairte subj:

 subj=system_u:system_r:crond_t:s0-s0:c0.c1023 

Relaciona-se às opções:

 subj_user Program's SE Linux User subj_role Program's SE Linux Role subj_type Program's SE Linux Type subj_sen Program's SE Linux Sensitivity subj_clr Program's SE Linux Cleairance 

acrescentando:

 -a exit,neview -F subj_role=crond 

ou

 -a exit,neview -F subj_role=crond_ 

não funcionou, os crones ainda apairecem.

De acordo com esta publicação , infelizmente, não pairece haview uma maneira de filtrair esse dilúvio de auditorias relacionadas ao cron sem mexer com o SElinux.

Muito frustrante.

Eu acredito que é auditctl -a neview,user -F subj_type=crond_t

Funciona com exception do 'tipo = LOGIN'

Então: auditctl always,exclude -F msgtype=LOGIN -F subj_type=crond_t

e você é bom paira ir