审计日志中 sshd 的奇怪 SECCOMP 条目

审计日志中 sshd 的奇怪 SECCOMP 条目

我在审计日志中看到了 sshd 的奇怪条目,如下所示:

type=SECCOMP audit(1433519794.902:46): auid=20003 uid=22 gid=22 ses=21 pid=25136 comm="sshd" exe="/usr/sbin/sshd" sig=31 arch=40000003 syscall=102 compat=0 ip=0xb76c8aac code=0x0
type=SECCOMP msg=audit(1433785727.186:10262): auid=20003 uid=22 gid=22 ses=21 pid=11217 comm="sshd" exe="/usr/sbin/sshd" sig=31 arch=40000003 syscall=132 compat=0 ip=0xb7670aac code=0x0

有人知道发生了什么吗?我的猜测是,OpenSSH 为预认证分叉了一个沙盒进程,并且有人试图在此连接阶段执行系统调用(socketcall和)。getpgid

所有连接似乎都来自韩国。

答案1

您可以通过执行以下命令来了解 syscall 的含义:

$ ausyscall 102
socketcall
$ ausyscall 132
getpgid

第一个是上游的错误,现在已修复(报告 [1])。ix86 正在使用此系统调用来关闭套接字(单向关闭)。

第二个看起来像是包装问题或一些下游补丁(您使用的是什么发行版?),因为从我的角度来看这是可以安全地允许的 - 我们允许 getpid 和类似的东西用于审计目的。

为了让您冷静下来,这里无需担心安全问题:)这可能在每次(失败的)连接时都会发生。

[1]https://bugzilla.mindrot.org/show_bug.cgi?id=2361#c14

相关内容