我正在 Debian 11 服务器上运行auditd,并使用一组非常通用的审核规则。审核日志充满了如下所示的条目。我不确定它们是什么 - 谁能帮助识别它们?我假设它与 root 执行某些操作有关,因为 ouid 和 ogit 都是 0。这是正确的吗?
type=Path msg=audit(1712839234.13338212): item=2 name="/lib/ld-linux-x86-64.so.2" inode=1573503 dev=fe:05 mode=0100755 ouid=0 ogid=0 rdev=00:00 nametype=NORMAL cap_fp=0 cap_fe=0 fver=0 frootid=0
答案1
我查看了您指向弗洛丽亚·罗斯audit.rules
文件的链接。我不会称其为一套通用规则,它相当冗长且包罗万象。
但是,您只列出了 1 个条目msg=audit(1712839234.13338212)
。该条目旁边是否还有更多条目共享相同的1712839234.13338212
时间戳?
请参考此开始破译审核日志语法:https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/8/html/security_hardening/auditing-the-system_security-hardening
type=PATH
基本上name="/lib/ld-linux-x86-64.so.2"
说它ld-linux-x86-64.so.2
是由对象所有者 uid 0(root)调用的。到目前为止我能破译的就是这些......
/lib64/ld-linux-x86-64.so.2是什么,为什么可以用它来执行文件?
在 REHL 8.9 上ls-l /lib64/ld-linux-x86-64.so.2
链接到ld-2.28.so
并yum whatprovides
显示它来自 glibc-2.28-225.el8_8.6.x86_64
。因此,到目前为止可以说的是,您对 root 动态链接器进行了大量调用。该规则文件中的哪条规则导致我不知道,我的第一个建议是
- 删除所有规则,查看日志条目是否消失,
- 然后重新添加规则块,直到缩小导致日志泛滥的规则的范围;我建议
-w
首先执行所有规则,然后执行所有-a
规则, - 我没有时间测试你的规则文件。