Ssh

審計日誌中 sshd 的奇怪 SECCOMP 條目

  • December 20, 2015

我在審計日誌中看到了 sshd 的奇怪條目,如下所示:

type=SECCOMP audit(1433519794.902:46): auid=20003 uid=22 gid=22 ses=21 pid=25136 comm="sshd" exe="/usr/sbin/sshd" sig=31 arch=40000003 syscall=102 compat=0 ip=0xb76c8aac code=0x0
type=SECCOMP msg=audit(1433785727.186:10262): auid=20003 uid=22 gid=22 ses=21 pid=11217 comm="sshd" exe="/usr/sbin/sshd" sig=31 arch=40000003 syscall=132 compat=0 ip=0xb7670aac code=0x0

有人知道發生了什麼嗎?我的猜測是,OpenSSH 為 preauth 分叉了一個沙盒程序,並且有人試圖在此連接階段執行系統呼叫(socketcall和)。getpgid

所有連接似乎都來自韓國。

syscall的含義你可以通過簡單的執行來了解:

$ ausyscall 102
socketcall
$ ausyscall 132
getpgid

第一個是上游錯誤,現已修復(報告

$$ 1 $$)。ix86 正在使用此系統呼叫來關閉套接字(關閉一種方式)。 第二個看起來像是打包問題或一些下游更新檔(您使用的是什麼發行版?),因為從我的角度來看,這是可以安全地允許的——我們允許 getpid 和類似的東西用於審計目的。

為了讓您冷靜下來,這裡沒有安全問題:) 這可能發生在每個(失敗的)連接中。

$$ 1 $$ https://bugzilla.mindrot.org/show_bug.cgi?id=2361#c14

引用自:https://serverfault.com/questions/697497