禁止单个 sudo 命令的日志条目
Posted
技术标签:
【中文标题】禁止单个 sudo 命令的日志条目【英文标题】:Suppress log entry for single sudo commands 【发布时间】:2013-01-11 11:21:08 【问题描述】:对于服务器监控,我们每分钟使用无密码sudo 执行几个命令。这会填满服务器日志。
sudo: zabbix : TTY=unknown ;密码=/ ;用户=根;命令=/foo/bar
我可以阻止这些条目吗? NOLOG_INPUT 和 NOLOG_OUTPUT 选项看起来不像我想要的。
我不想完全忽略sudo 的日志记录,只针对一个用户和一个(或多个)命令。
有没有办法做到这一点?
【问题讨论】:
【参考方案1】:您可以使用Defaults: 指令禁用基于用户的日志记录
示例(禁用用户 bla 的日志记录)
Defaults:bla !syslog
或使用Cmnd_Alias 来根据命令禁用它
Cmnd_Alias SCRIPT = /usr/local/bin/myscript
Defaults!SCRIPT !syslog
# multiple commands need a comma between them
Cmnd_Alias MORE = /bin/ls, /bin/cat
Defaults!MORE !syslog
在 Debian 6.0.6 上使用 sudo 版本 1.7.4p4 测试(相当旧;))
【讨论】:
如果有人也想禁用“为 root 用户打开/关闭会话”消息,这对我有用:Defaults!SCRIPT !syslog, !pam_session 将!syslog 替换为 !log_allowed 以停止仅记录成功尝试,仍然记录被拒绝的尝试。以上是关于禁止单个 sudo 命令的日志条目的主要内容,如果未能解决你的问题,请参考以下文章
设置ssh证书登录,禁止root登录,禁止su到root,sudo权限设置
Linux命令sudo实现集权(提权)管理,防止超级权限泛滥