我看到一条auditd我不明白的消息。我的操作系统是 Ubuntu 20.04。
每次我启动服务器时,审计条目都会显示用户 ID 1001(普通用户)正在对 进行系统调用/usr/bin/mount。但那个用户是我(机器上唯一的交互用户),而且我没有挂载任何我所知道的东西。
知道为什么普通用户(auid=1001)被暗示为在启动时进行挂载调用的用户吗?
信息 - 格式化以便于阅读
type=PATH msg=audit(08/08/2020 18:15:21.901:256) :
item=0 name=/usr/bin/mount inode=1207 dev=08:01
mode=file,suid,755 ouid=root ogid=root rdev=00:00
type=EXECVE msg=audit(08/08/2020 18:15:21.901:256) : argc=1 a0=mount
type=SYSCALL msg=audit(08/08/2020 18:15:21.901:256) :
arch=x86_64 syscall=execve success=yes exit=0 .....
ppid=696 pid=697 auid=1001 uid=root gid=root euid=root
suid=root fsuid=root egid=root sgid=root fsgid=root tty=(none)
ses=1 comm=mount exe=/usr/bin/mount key=privileged_command