我在审计日志中看到了 sshd 的奇怪条目,如下所示:
type=SECCOMP audit(1433519794.902:46): auid=20003 uid=22 gid=22 ses=21 pid=25136 comm="sshd" exe="/usr/sbin/sshd" sig=31 arch=40000003 syscall=102 compat=0 ip=0xb76c8aac code=0x0
type=SECCOMP msg=audit(1433785727.186:10262): auid=20003 uid=22 gid=22 ses=21 pid=11217 comm="sshd" exe="/usr/sbin/sshd" sig=31 arch=40000003 syscall=132 compat=0 ip=0xb7670aac code=0x0
有人知道发生了什么吗?我的猜测是,OpenSSH 为预认证分叉了一个沙盒进程,并且有人试图在此连接阶段执行系统调用(socketcall和)。getpgid
所有连接似乎都来自韩国。
答案1
您可以通过执行以下命令来了解 syscall 的含义:
$ ausyscall 102
socketcall
$ ausyscall 132
getpgid
第一个是上游的错误,现在已修复(报告 [1])。ix86 正在使用此系统调用来关闭套接字(单向关闭)。
第二个看起来像是包装问题或一些下游补丁(您使用的是什么发行版?),因为从我的角度来看这是可以安全地允许的 - 我们允许 getpid 和类似的东西用于审计目的。
为了让您冷静下来,这里无需担心安全问题:)这可能在每次(失败的)连接时都会发生。