Am Sonntag 21 August 2005 13:09 schrieb gerhard: > Am Dienstag 16 August 2005 19:49 schrieb gerhard: >[...] > spricht (bezüglich der Sicherheit) etwas gegen diese Regel? Ich habe > die Datei pam_limits neu angelegt: > > vi /etc/logcheck/ignore.d.server/pam_limits > > ^\w{3} [ :0-9]{11} [._[:alnum:]-]+ pam_limits\[[0-9]+\]: setrlimit > limit #[0-9]+ to soft\=-[0-9]+, hard\=-[0-9]+ failed\: Operation not > permitted\; uid\=[0-9]+ euid\=[0-9]+$ > > > D.h. sollte ich das Filter strikter anlegen, also > > ^\w{3} [ :0-9]{11} [._[:alnum:]-]+ pam_limits\[[0-9]+\]: setrlimit > limit #6+ to soft\=-1, hard\=-1 failed\: Operation not permitted\; > uid\=0 euid\=0$ > > damit nicht alles herausgefiltert wird? Mit den regex hab' ich es > nicht so. Kann man aber doch mit egrep testen? Hmm leider scheint das nicht richtig zu sein, ich erhalte immer noch diese Meldung:
Security Events =-=-=-=-=-=-=-= Aug 21 16:07:48 vserver821 pam_limits[18749]: setrlimit limit #6 to soft=-1, hard=-1 failed: Operation not permitted; uid=0 euid=0 Ist /etc/logcheck/ignore.d.server/pam_limits nicht die richtige Datei für die Ignore-Regel, oder matcht die nicht ( mit egrep und der Testdatei gings aber)? ciao Gerhard