我的服务器上的 Clam 防病毒软件存在问题。我每天都会收到一次 OSSEC 发出的通知。我不确定该去哪里查找或问题到底是什么。有人能指出正确的方向吗?
Received From:->/var/log/syslog
Rule: 1002 fired (level 2) -> "Unknown problem somewhere in the system."
Portion of the log(s):
Apr 27 16:00:51 kernel: [237797.696615] audit: type=1400
audit(1493305251.498:23): apparmor="DENIED" operation="open"
profile="/usr/bin/freshclam" name="/proc/7009/status" pid=7009 comm="freshclam" requested_mask="r"
denied_mask="r" fsuid=115 ouid=0
答案1
尽管 HIDS 报告了该威胁,但这似乎并不是您应该担心的威胁。在下载新的病毒定义数据库后,它freshclam会进行一些检查/proc/<self>(和)。/proc/filesystems
你的应用装甲已拒绝freshclam访问/proc/7009。据我所知,这不会影响病毒定义更新。pid=7009匹配,证明它正在访问自己的流程信息这并不罕见。每天都在发生这样的事,也说明了一个道理。
您可以发现 AppArmor 配置文件影响freshclam来自/etc/apparmor.d/usr.bin.freshclam(或可能包括来自/etc/apparmor.d/local/usr.bin.freshclam)。为了允许此正常运行,应该有以下策略:
@{PROC}/filesystems r,
owner @{PROC}/[0-9]*/status r,
您没有提到您的发行版;通常默认情况下,这是在配置文件中。如果没有,您可以将其添加到当地的profile 并确保它已include在主配置文件中被 d(来自发行版)。如果被修改,由于 AppArmor 是内核(LSM)增强功能,配置文件通常会在(下次)启动时加载到内核。
OSSEC HIDS 监控您的日志并将 AppArmor 拒绝的任何内容报告为潜在威胁,这绝不是一个坏假设。但是,它并不总是表明 AppArmor 配置是否合理。在这种特殊情况下,AppArmor 似乎不必要地拒绝了某些内容,但您不应概括这些通知总是误报。
这规则分类 等级提到后规则被触发帮助您评估相关性:
00 - 忽略 - 未采取任何措施。用于避免误报。这些规则在所有其他规则之前进行扫描。它们包括与安全无关的事件。
02 - 系统低优先级通知- 系统通知或状态消息。它们与安全无关。
你可以调整OSSEC警报选项和/或细粒度电子邮件选项 避免将电子邮件置于 00-03 级(非安全)或 00-06 级(低相关性)规则中。在/etc/ossec.conf:
选项
alerts子选项email_alert_level设置发送电子邮件通知的最低警报级别。 这默认是 7,正如我的建议一样。选项
email_alerts子选项level设置转发电子邮件的最低警报级别。