我使用的是安装了 Logwatch 的 Debian。我会定期收到一些奇怪的日志记录。我多次搜索以下条目的实际含义,但我仍然不知道它们是什么意思:
--------------------- Kernel Audit Begin ------------------------
**Unmatched Entries** (Only first 100 out of 142 are printed)
audit: type=1702 audit(1501125815.715:26): op=linkat ppid=24321 pid=24322 auid=1004 uid=1004 gid=1005 euid=1004 suid=1004 fsuid=1004 egid=1005 sgid=1005 fsgid=1005 tty=(none) ses=4404 comm="sshd" exe="/usr/sbin/sshd" res=0
audit: type=1302 audit(1501125815.715:27): item=0 name=2F4C502F5573696E672F5A4849204855412F566572696669636174696F6E204E6F7465732F5A484920485541202D2056204E6F74657320283230313730373235292E646F6378 inode=121766761 dev=00:27 mode=0100644 ouid=1001 ogid=1001 rdev=00:00 nametype=NORMAL
audit: type=1702 audit(1501125815.763:28): op=linkat ppid=24321 pid=24322 auid=1004 uid=1004 gid=1005 euid=1004 suid=1004 fsuid=1004 egid=1005 sgid=1005 fsgid=1005 tty=(none) ses=4404 comm="sshd" exe="/usr/sbin/sshd" res=0
audit: type=1302 audit(1501125815.763:29): item=0 name=2F4C502F5573696E672F5A4849204855412F566572696669636174696F6E204E6F7465732F5A484920485541202D2056204E6F74657320283230313730373235292E646F6378 inode=121766761 dev=00:27 mode=0100644 ouid=1001 ogid=1001 rdev=00:00 nametype=NORMAL
audit: type=1702 audit(1501130582.080:30): op=linkat ppid=25621 pid=25622 auid=1004 uid=1004 gid=1005 euid=1004 suid=1004 fsuid=1004 egid=1005 sgid=1005 fsgid=1005 tty=(none) ses=4521 comm="sshd" exe="/usr/sbin/sshd" res=0
audit: type=1702 audit(1500282812.404:2): op=linkat ppid=16258 pid=16259 auid=1001 uid=1001 gid=1001 euid=1001 suid=1001 fsuid=1001 egid=1001 sgid=1001 fsgid=1001 tty=(none) ses=1203 comm="sshd" exe="/usr/sbin/sshd" res=0
audit: type=1302 audit(1500282812.404:3): item=0 name="/storage/D/MyDocs/Database.sqlite" inode=117178444 dev=00:27 mode=0100644 ouid=1004 ogid=1005 rdev=00:00 nametype=NORMAL
...
---------------------- Kernel Audit End -------------------------
我想问一下:
- 它们究竟是什么意思?
- 如何检查“类型”的定义?(例如
type=1702和type=1302)?
谢谢!〜
答案1
这是 Linux 审计框架的一部分。请参阅此处https://github.com/torvalds/linux/blob/master/include/uapi/linux/audit.h 例如,1702 和 1302 表示:
1702 /* Suspicious use of file links */ 1302 /* Filename path information */
对于不匹配的条目,您需要查看 logwatch.conf 和 audit.conf 中的具体设置
例如,我们来看看这个是什么意思。
audit: type=1702 audit(1501125815.715:26): op=linkat ppid=24321 pid=24322 auid=1004 uid=1004 gid=1005 euid=1004 suid=1004 fsuid=1004 egid=1005 sgid=1005 fsgid=1005 tty=(none) ses=4404 comm="sshd" exe="/usr/sbin/sshd" res=0
这是用户 ID 1004 的“可疑文件链接使用”。因此您需要检查该用户是谁。它指的是“linkat”操作,这是一个 Linux 系统功能,由 sshd 调用。审计将此标记为可疑(请注意,它没有拒绝或阻止)。因此,您的系统中的某些东西正在运行系统调用 linkat(它基本上会创建一个新文件名,但我不太熟悉这个调用)。
答案2
在终端中逐个输入以下命令:
ausearch -x sudo -ua 1001
ausearch -x sudo -ua 1004
并将结果粘贴到 pastebin 网站并提供 URL。这将有助于执行错误分析。
它将搜索 uid 为 1001 和 1004 的进程
答案3
详细描述如下:
https://github.com/linux-audit/audit-documentation/blob/main/specs/fields/field-dictionary.csv
前几行:
NAME FORMAT MEANING EXCEPTION
a[0-3] numeric hexadecimal the arguments to a syscall syscall
a[[:digit:]+]\[.*\] encoded the arguments to the execve syscall execve
acct encoded a user's account name
acl alphabet access mode of resource assigned to vm
action numeric netfilter packet disposition
added numeric number of new files detected
addr encoded the remote address that the user is connecting from
apparmor encoded apparmor event information
arch numeric hexadecimal the elf architecture flags
argc numeric decimal the number of arguments to an execve syscall
audit_backlog_limit numeric decimal audit system's backlog queue size
audit_backlog_wait_time numeric decimal audit system's backlog wait time
audit_enabled numeric decimal audit systems's enable/disable status
audit_failure numeric decimal audit system's failure mode
auid numeric decimal login user ID