Как исключить сообщения auditd из dmesg и регистрировать их только в /var/log/audit.log

Я использую audit для регистрации подозрительных действий пользователя на рабочей станции в моем учреждении. Я обнаружил, что помимо входа в /var/log/audit.log , auditd также записывает в /var/log/messages . Следовательно, непривилегированный пользователь может просматривать записанную запись просто путем ввода команды dmesg . Это сильно влияет на конфиденциальность пользователей.

Я пробовал это и это , но вместо полного удаления audit я хочу, чтобы он все еще записывался в /var/log/audit.log .

Я также пробовал это : запись :programname, isequal, "audit" ~ в rsyslog.conf , но это не сработало для меня.

Некоторые также предлагают добавить параметр audit=0 к параметру ядра. Я не уверен, что он полностью отключит auditd . Кроме того, на рабочих станциях есть много активных пользователей и их нельзя перезагружать.

Кто-нибудь знает?

Заранее спасибо!

ОС: Debian Testing auditctl версия: 2.4.5

Регистрация в / var / log / messages происходит одновременно с / var / log / messages. audit = 0 отключит весь период журналов аудита. Однако это не должно останавливать период аудита. Также рассмотрите возможность использования auditctl -e 0 .

Журналы аудита, которые отображаются, на самом деле не являются «проблемой конфиденциальности», потому что, если пользователь действительно хочет знать, что происходит, им нужны ausearch и другие команды au* для просмотра содержимого журналов / отчетов по мере их поступления (подсказка, они нуждаются в корне). Журналы аудита покажут исполняемую команду, помимо прочего, но ничего сверх этого (ключи, другие файлы и т. Д.).

В качестве примечания стороны также есть команда ps . Любой пользователь может видеть, что другой пользователь работает в любом случае.