服务器 Gind.cn
  1. 服务器 Gind.cn
  3. Logwatch报告中的这些“核心审计”条目到底指的是什么?
Intereting Posts
如何减less服务器负载而不杀死进程? 备份文件与许多重复的文件 主机头值不在外部工作 EC2 ELB和DOS攻击 如何login到远程电脑与公共密钥,而没有在用户login的机器上的用户? Avaya 4850 GTS&VSP 7000 – build立光纤中继线,无MLT 独立资源和AWS上的每个项目的访问? 错误:“net.netfilter.nf_conntrack_acct”是一个未知的密钥 在LInux中search多个文件中的string yum:包组是什么?@shortname? 在Cassandra中备份数据的最佳解决scheme是什么? 是否有可能将MySQL数据存储为注释? 远程到远程文件同步,远程服务器之间没有直接networking连接 SBS 2011域限制 Dell PERC Patrol Read使得机器无法使用

Logwatch报告中的这些“核心审计”条目到底指的是什么?

我使用安装了Logwatch的Debian。 我会定期收到一些奇怪的日志logging。 我search了多次关于下列条目的实际意义,但仍然不知道他们的意思是什么: 

--------------------- Kernel Audit Begin ------------------------ **Unmatched Entries** (Only first 100 out of 142 are printed) audit: type=1702 audit(1501125815.715:26): op=linkat ppid=24321 pid=24322 auid=1004 uid=1004 gid=1005 euid=1004 suid=1004 fsuid=1004 egid=1005 sgid=1005 fsgid=1005 tty=(none) ses=4404 comm="sshd" exe="/usr/sbin/sshd" res=0 audit: type=1302 audit(1501125815.715:27): item=0 name=2F4C502F5573696E672F5A4849204855412F566572696669636174696F6E204E6F7465732F5A484920485541202D2056204E6F74657320283230313730373235292E646F6378 inode=121766761 dev=00:27 mode=0100644 ouid=1001 ogid=1001 rdev=00:00 nametype=NORMAL audit: type=1702 audit(1501125815.763:28): op=linkat ppid=24321 pid=24322 auid=1004 uid=1004 gid=1005 euid=1004 suid=1004 fsuid=1004 egid=1005 sgid=1005 fsgid=1005 tty=(none) ses=4404 comm="sshd" exe="/usr/sbin/sshd" res=0 audit: type=1302 audit(1501125815.763:29): item=0 name=2F4C502F5573696E672F5A4849204855412F566572696669636174696F6E204E6F7465732F5A484920485541202D2056204E6F74657320283230313730373235292E646F6378 inode=121766761 dev=00:27 mode=0100644 ouid=1001 ogid=1001 rdev=00:00 nametype=NORMAL audit: type=1702 audit(1501130582.080:30): op=linkat ppid=25621 pid=25622 auid=1004 uid=1004 gid=1005 euid=1004 suid=1004 fsuid=1004 egid=1005 sgid=1005 fsgid=1005 tty=(none) ses=4521 comm="sshd" exe="/usr/sbin/sshd" res=0 audit: type=1702 audit(1500282812.404:2): op=linkat ppid=16258 pid=16259 auid=1001 uid=1001 gid=1001 euid=1001 suid=1001 fsuid=1001 egid=1001 sgid=1001 fsgid=1001 tty=(none) ses=1203 comm="sshd" exe="/usr/sbin/sshd" res=0 audit: type=1302 audit(1500282812.404:3): item=0 name="/storage/D/MyDocs/Database.sqlite" inode=117178444 dev=00:27 mode=0100644 ouid=1004 ogid=1005 rdev=00:00 nametype=NORMAL ... ---------------------- Kernel Audit End -------------------------

我想问一下:

  1. 他们究竟是什么意思?
  2. 如何检查“types”的定义? (如type=1702type=1302 )?

谢谢!〜

这是linux审计框架的一部分。 看到这里https://github.com/torvalds/linux/blob/master/include/uapi/linux/audit.h例如,1702和1302的意思是:

1702 /* Suspicious use of file links */ 1302 /* Filename path information */

对于不匹配的条目,您需要查看logwatch.conf和audit.conf中的特定设置

例如,让我们看看这是什么意思。

audit: type=1702 audit(1501125815.715:26): op=linkat ppid=24321 pid=24322 auid=1004 uid=1004 gid=1005 euid=1004 suid=1004 fsuid=1004 egid=1005 sgid=1005 fsgid=1005 tty=(none) ses=4404 comm="sshd" exe="/usr/sbin/sshd" res=0

这是用户ID为1004的“可疑的文件链接使用”。所以你需要检查哪个用户是。 它指的是“linkat”操作,它是一个linux系统函数,由sshd调用。 审计标记这是可疑的(注意,它没有否认或阻止)。 所以你的系统中有一些东西在运行sys call linkat(它基本上创build了一个新的文件名,但我不太熟悉这个调用)。