Re: setrlimit limit failed [GELÖST] Re: bind9 logcheck
Am Sonntag 21 August 2005 13:09 schrieb gerhard:
> Am Dienstag 16 August 2005 19:49 schrieb gerhard:
>[...]
> spricht (bezüglich der Sicherheit) etwas gegen diese Regel? Ich habe
> die Datei pam_limits neu angelegt:
>
> vi /etc/logcheck/ignore.d.server/pam_limits
>
> ^\w{3} [ :0-9]{11} [._[:alnum:]-]+ pam_limits\[[0-9]+\]: setrlimit
> limit #[0-9]+ to soft\=-[0-9]+, hard\=-[0-9]+ failed\: Operation not
> permitted\; uid\=[0-9]+ euid\=[0-9]+$
>
>
> D.h. sollte ich das Filter strikter anlegen, also
>
> ^\w{3} [ :0-9]{11} [._[:alnum:]-]+ pam_limits\[[0-9]+\]: setrlimit
> limit #6+ to soft\=-1, hard\=-1 failed\: Operation not permitted\;
> uid\=0 euid\=0$
>
> damit nicht alles herausgefiltert wird? Mit den regex hab' ich es
> nicht so. Kann man aber doch mit egrep testen?
Hmm leider scheint das nicht richtig zu sein, ich erhalte immer noch
diese Meldung:
Security Events
=-=-=-=-=-=-=-=
Aug 21 16:07:48 vserver821 pam_limits[18749]: setrlimit limit #6 to
soft=-1, hard=-1 failed: Operation not permitted; uid=0 euid=0
Ist /etc/logcheck/ignore.d.server/pam_limits nicht die richtige Datei
für die Ignore-Regel, oder matcht die nicht ( mit egrep und der
Testdatei gings aber)?
ciao
Gerhard
Reply to: