Linux

Logwatch 報告中的這些“核心審計”條目究竟是什麼意思?

  • October 14, 2020

我正在使用安裝了 Logwatch 的 Debian。我會定期收到一些奇怪的日誌記錄。我多次搜尋以下條目的實際含義,但仍然不知道它們的含義:

--------------------- Kernel Audit Begin ------------------------ 

**Unmatched Entries** (Only first 100 out of 142 are printed)

audit: type=1702 audit(1501125815.715:26): op=linkat ppid=24321 pid=24322 auid=1004 uid=1004 gid=1005 euid=1004 suid=1004 fsuid=1004 egid=1005 sgid=1005 fsgid=1005 tty=(none) ses=4404 comm="sshd" exe="/usr/sbin/sshd" res=0

audit: type=1302 audit(1501125815.715:27): item=0 name=2F4C502F5573696E672F5A4849204855412F566572696669636174696F6E204E6F7465732F5A484920485541202D2056204E6F74657320283230313730373235292E646F6378 inode=121766761 dev=00:27 mode=0100644 ouid=1001 ogid=1001 rdev=00:00 nametype=NORMAL

audit: type=1702 audit(1501125815.763:28): op=linkat ppid=24321 pid=24322 auid=1004 uid=1004 gid=1005 euid=1004 suid=1004 fsuid=1004 egid=1005 sgid=1005 fsgid=1005 tty=(none) ses=4404 comm="sshd" exe="/usr/sbin/sshd" res=0

audit: type=1302 audit(1501125815.763:29): item=0 name=2F4C502F5573696E672F5A4849204855412F566572696669636174696F6E204E6F7465732F5A484920485541202D2056204E6F74657320283230313730373235292E646F6378 inode=121766761 dev=00:27 mode=0100644 ouid=1001 ogid=1001 rdev=00:00 nametype=NORMAL

audit: type=1702 audit(1501130582.080:30): op=linkat ppid=25621 pid=25622 auid=1004 uid=1004 gid=1005 euid=1004 suid=1004 fsuid=1004 egid=1005 sgid=1005 fsgid=1005 tty=(none) ses=4521 comm="sshd" exe="/usr/sbin/sshd" res=0

audit: type=1702 audit(1500282812.404:2): op=linkat ppid=16258 pid=16259 auid=1001 uid=1001 gid=1001 euid=1001 suid=1001 fsuid=1001 egid=1001 sgid=1001 fsgid=1001 tty=(none) ses=1203 comm="sshd" exe="/usr/sbin/sshd" res=0

audit: type=1302 audit(1500282812.404:3): item=0 name="/storage/D/MyDocs/Database.sqlite" inode=117178444 dev=00:27 mode=0100644 ouid=1004 ogid=1005 rdev=00:00 nametype=NORMAL

...

---------------------- Kernel Audit End ------------------------- 

我想問一下:

  1. 它們實際上是什麼意思?
  2. 如何檢查“類型”的定義?(例如type=1702type=1302)?

謝謝!~

這是 linux 審計框架的一部分。見這裡https://github.com/torvalds/linux/blob/master/include/uapi/linux/audit.h 例如​​ 1702 和 1302 表示:

1702 /* Suspicious use of file links */ 1302 /* Filename path information */

對於不匹配的條目,您需要查看 logwatch.conf 和 audit.conf 中的特定設置

例如,讓我們看看這個是什麼意思。

audit: type=1702 audit(1501125815.715:26): op=linkat ppid=24321 pid=24322 auid=1004 uid=1004 gid=1005 euid=1004 suid=1004 fsuid=1004 egid=1005 sgid=1005 fsgid=1005 tty=(none) ses=4404 comm="sshd" exe="/usr/sbin/sshd" res=0

這是使用者 id 1004 的“可疑使用文件連結”。所以您需要檢查是哪個使用者。它指的是“linkat”操作,它是一個 linux 系統函式,由 sshd 呼叫。審計將此標記為可疑(請注意,它沒有拒絕或阻止)。因此,您系統中的某些東西正在執行 sys 呼叫 linkat (它基本上創建了一個新文件名,但我對這個呼叫不太熟悉)。

引用自:https://serverfault.com/questions/868689