type=SECCOMP audit(1433519794.902:46): auid=20003 uid=22 gid=22 ses=21 pid=25136 comm="sshd" exe="/usr/sbin/sshd" sig=31 arch=40000003 syscall=102 compat=0 ip=0xb76c8aac code=0x0 type=SECCOMP msg=audit(1433785727.186:10262): auid=20003 uid=22 gid=22 ses=21 pid=11217 comm="sshd" exe="/usr/sbin/sshd" sig=31 arch=40000003 syscall=132 compat=0 ip=0xb7670aac code=0x0 任何人有任何想法发生了什么? 我的猜测是,OpenSSH为preauth分配了一个沙盒进程,而有人正试图在这个连接阶段执行系统调用( socketcall和getpgid )。
所有的联系似乎都来自韩国。
系统调用的含义你可以简单地通过执行:
$ ausyscall 102 socketcall $ ausyscall 132 getpgid
第一个是上游bug,现在已经修复(报告[1])。 ix86正在使用此系统调用来closures套接字(单向closures)。
第二个看起来像包装问题或一些下游补丁(你使用什么分布?),因为从我的angular度来看,这是可以安全地允许的 – 我们允许getpid和相似的审计目的。
为了冷静你,这里没有安全问题:)这可能是每个(失败)连接发生。