Logwatch 报告中的这些“内核审计”条目到底是什么意思?

Logwatch 报告中的这些“内核审计”条目到底是什么意思?

我使用的是安装了 Logwatch 的 Debian。我会定期收到一些奇怪的日志记录。我多次搜索以下条目的实际含义,但我仍然不知道它们是什么意思:

--------------------- Kernel Audit Begin ------------------------ 

**Unmatched Entries** (Only first 100 out of 142 are printed)

audit: type=1702 audit(1501125815.715:26): op=linkat ppid=24321 pid=24322 auid=1004 uid=1004 gid=1005 euid=1004 suid=1004 fsuid=1004 egid=1005 sgid=1005 fsgid=1005 tty=(none) ses=4404 comm="sshd" exe="/usr/sbin/sshd" res=0

audit: type=1302 audit(1501125815.715:27): item=0 name=2F4C502F5573696E672F5A4849204855412F566572696669636174696F6E204E6F7465732F5A484920485541202D2056204E6F74657320283230313730373235292E646F6378 inode=121766761 dev=00:27 mode=0100644 ouid=1001 ogid=1001 rdev=00:00 nametype=NORMAL

audit: type=1702 audit(1501125815.763:28): op=linkat ppid=24321 pid=24322 auid=1004 uid=1004 gid=1005 euid=1004 suid=1004 fsuid=1004 egid=1005 sgid=1005 fsgid=1005 tty=(none) ses=4404 comm="sshd" exe="/usr/sbin/sshd" res=0

audit: type=1302 audit(1501125815.763:29): item=0 name=2F4C502F5573696E672F5A4849204855412F566572696669636174696F6E204E6F7465732F5A484920485541202D2056204E6F74657320283230313730373235292E646F6378 inode=121766761 dev=00:27 mode=0100644 ouid=1001 ogid=1001 rdev=00:00 nametype=NORMAL

audit: type=1702 audit(1501130582.080:30): op=linkat ppid=25621 pid=25622 auid=1004 uid=1004 gid=1005 euid=1004 suid=1004 fsuid=1004 egid=1005 sgid=1005 fsgid=1005 tty=(none) ses=4521 comm="sshd" exe="/usr/sbin/sshd" res=0

audit: type=1702 audit(1500282812.404:2): op=linkat ppid=16258 pid=16259 auid=1001 uid=1001 gid=1001 euid=1001 suid=1001 fsuid=1001 egid=1001 sgid=1001 fsgid=1001 tty=(none) ses=1203 comm="sshd" exe="/usr/sbin/sshd" res=0

audit: type=1302 audit(1500282812.404:3): item=0 name="/storage/D/MyDocs/Database.sqlite" inode=117178444 dev=00:27 mode=0100644 ouid=1004 ogid=1005 rdev=00:00 nametype=NORMAL

...

---------------------- Kernel Audit End ------------------------- 

我想问一下:

  1. 它们究竟是什么意思?
  2. 如何检查“类型”的定义?(例如type=1702type=1302)?

谢谢!〜

答案1

这是 Linux 审计框架的一部分。请参阅此处https://github.com/torvalds/linux/blob/master/include/uapi/linux/audit.h 例如,1702 和 1302 表示:

1702 /* Suspicious use of file links */ 1302 /* Filename path information */

对于不匹配的条目,您需要查看 logwatch.conf 和 audit.conf 中的具体设置

例如,我们来看看这个是什么意思。

audit: type=1702 audit(1501125815.715:26): op=linkat ppid=24321 pid=24322 auid=1004 uid=1004 gid=1005 euid=1004 suid=1004 fsuid=1004 egid=1005 sgid=1005 fsgid=1005 tty=(none) ses=4404 comm="sshd" exe="/usr/sbin/sshd" res=0

这是用户 ID 1004 的“可疑文件链接使用”。因此您需要检查该用户是谁。它指的是“linkat”操作,这是一个 Linux 系统功能,由 sshd 调用。审计将此标记为可疑(请注意,它没有拒绝或阻止)。因此,您的系统中的某些东西正在运行系统调用 linkat(它基本上会创建一个新文件名,但我不太熟悉这个调用)。

答案2

在终端中逐个输入以下命令:

ausearch -x sudo -ua 1001
ausearch -x sudo -ua 1004

并将结果粘贴到 pastebin 网站并提供 URL。这将有助于执行错误分析。

它将搜索 uid 为 1001 和 1004 的进程

答案3

详细描述如下:

https://github.com/linux-audit/audit-documentation/blob/main/specs/fields/field-dictionary.csv

前几行:

NAME    FORMAT  MEANING EXCEPTION
a[0-3]  numeric hexadecimal the arguments to a syscall  syscall
a[[:digit:]+]\[.*\] encoded the arguments to the execve syscall execve
acct    encoded a user's account name   
acl alphabet    access mode of resource assigned to vm  
action  numeric netfilter packet disposition    
added   numeric number of new files detected    
addr    encoded the remote address that the user is connecting from 
apparmor    encoded apparmor event information  
arch    numeric hexadecimal the elf architecture flags  
argc    numeric decimal the number of arguments to an execve syscall    
audit_backlog_limit numeric decimal audit system's backlog queue size   
audit_backlog_wait_time numeric decimal audit system's backlog wait time    
audit_enabled   numeric decimal audit systems's enable/disable status   
audit_failure   numeric decimal audit system's failure mode 
auid    numeric decimal login user ID   

相关内容