Logwatchレポートのこれらの「カーネル監査」エントリは、正確にはどういう意味ですか?
LogwatchがインストールされたDebianを使用しています。奇妙なログレコードを定期的に受け取ります。次のエントリの実際の意味について何度も検索しましたが、それでもどういう意味かわかりません。
--------------------- Kernel Audit Begin ------------------------
**Unmatched Entries** (Only first 100 out of 142 are printed)
audit: type=1702 audit(1501125815.715:26): op=linkat ppid=24321 pid=24322 auid=1004 uid=1004 gid=1005 euid=1004 suid=1004 fsuid=1004 egid=1005 sgid=1005 fsgid=1005 tty=(none) ses=4404 comm="sshd" exe="/usr/sbin/sshd" res=0
audit: type=1302 audit(1501125815.715:27): item=0 name=2F4C502F5573696E672F5A4849204855412F566572696669636174696F6E204E6F7465732F5A484920485541202D2056204E6F74657320283230313730373235292E646F6378 inode=121766761 dev=00:27 mode=0100644 ouid=1001 ogid=1001 rdev=00:00 nametype=NORMAL
audit: type=1702 audit(1501125815.763:28): op=linkat ppid=24321 pid=24322 auid=1004 uid=1004 gid=1005 euid=1004 suid=1004 fsuid=1004 egid=1005 sgid=1005 fsgid=1005 tty=(none) ses=4404 comm="sshd" exe="/usr/sbin/sshd" res=0
audit: type=1302 audit(1501125815.763:29): item=0 name=2F4C502F5573696E672F5A4849204855412F566572696669636174696F6E204E6F7465732F5A484920485541202D2056204E6F74657320283230313730373235292E646F6378 inode=121766761 dev=00:27 mode=0100644 ouid=1001 ogid=1001 rdev=00:00 nametype=NORMAL
audit: type=1702 audit(1501130582.080:30): op=linkat ppid=25621 pid=25622 auid=1004 uid=1004 gid=1005 euid=1004 suid=1004 fsuid=1004 egid=1005 sgid=1005 fsgid=1005 tty=(none) ses=4521 comm="sshd" exe="/usr/sbin/sshd" res=0
audit: type=1702 audit(1500282812.404:2): op=linkat ppid=16258 pid=16259 auid=1001 uid=1001 gid=1001 euid=1001 suid=1001 fsuid=1001 egid=1001 sgid=1001 fsgid=1001 tty=(none) ses=1203 comm="sshd" exe="/usr/sbin/sshd" res=0
audit: type=1302 audit(1500282812.404:3): item=0 name="/storage/D/MyDocs/Database.sqlite" inode=117178444 dev=00:27 mode=0100644 ouid=1004 ogid=1005 rdev=00:00 nametype=NORMAL
...
---------------------- Kernel Audit End -------------------------
聞きたい:
- 実際にはどういう意味ですか?
- 「タイプ」の定義を確認するにはどうすればよいですか? (といった
type=1702およびtype=1302)?
ありがとう!〜
これは、Linux監査フレームワークの一部です。ここを参照してください https://github.com/torvalds/linux/blob/master/include/uapi/linux/audit.h たとえば、1702と1302は次のことを意味します。
_1702 /* Suspicious use of file links */ 1302 /* Filename path information */_
一致しないエントリについては、logwatch.confおよびaudit.confの特定の設定を確認する必要があります。
たとえば、これが何を意味するか見てみましょう。
audit: type=1702 audit(1501125815.715:26): op=linkat ppid=24321 pid=24322 auid=1004 uid=1004 gid=1005 euid=1004 suid=1004 fsuid=1004 egid=1005 sgid=1005 fsgid=1005 tty=(none) ses=4404 comm="sshd" exe="/usr/sbin/sshd" res=0
これは、ユーザーID 1004の「ファイルリンクの疑わしい使用」です。したがって、どのユーザーがそれであるかを確認する必要があります。これはLinuxシステム関数である「linkat」操作を参照しており、これはsshdによって呼び出されました。監査はこれを疑わしいものとしてフラグを立てました(それが否定またはブロックしなかったことに注意してください)。したがって、システム内の何かがsys呼び出しlinkatを実行しています(これは基本的に新しいファイル名を作成しますが、私はこの呼び出しにあまり詳しくありません)。