>> И с мусором от крона в аудит ничего не поделать в принципе.
> -a always,exclude -F subj_type=crond_t -F msgtype=USER_ACCT Only msgtype field can be used with exclude filter
(rhel6)
Можно, наверное, добавить другой фильтр - c never,* - в нем можно subj_type, но тогда уфильтруются и реальные проблемы с кроном, пойманные selinux.
Может, это как раз пользователям нынешней "поддерживаемой" центоси наконец-то сделали щастье?
Тогда спасибо, конечно, но они опоздали на десять лет :-(
Ну и если бы это даже работало - вопрос о том, чем думал дятел, устроивший этот геморрой там, где должно быть ноль ложных срабатываний (не в курсе ли он, к примеру, что вообще-то у cron тридцать лет как есть нормальный syslog, где все это в человекочитаемом виде и отдельно от системных событий?), и почему за пятнадцать лет никто не почесался убрать этот вредный и ненужный мусор из дефолтной системы, остается.
Впрочем, сейчас меня больше интересует notabug apparmor, вижжащий про каждый запуск man. Включая даже внутриконтейнерные. (реально закрыт с notabug, десять лет ВСЕ де6иллианы гадят в логи ненужным мусором, неотключаемо. cococommunity, cocococoсесюрити! Ай-ай-ай, у них setuid man!!! Двадцать лет как и всегда был.)
Про selinux же можно спокойно забывать - он останется только в коммерческом редхате, который будет использоваться примерно нигде, да и там - под надзором чутких и внимательных ребят из интегратора-продавана "решениев" (которые первым делом отключат selinux еще до загрузки, они по другому не умеют ;-)