O que exatamente as entradas de “Kernel Audit” no relatório Logwatch significam?

1

Estou usando o Debian com o Logwatch instalado. Gostaria de receber alguns registros de log estranhos em uma base regular. Eu pesquisei várias vezes sobre o significado real das entradas a seguir, mas ainda assim, não tenho ideia do que elas significam:

--------------------- Kernel Audit Begin ------------------------ 

**Unmatched Entries** (Only first 100 out of 142 are printed)

audit: type=1702 audit(1501125815.715:26): op=linkat ppid=24321 pid=24322 auid=1004 uid=1004 gid=1005 euid=1004 suid=1004 fsuid=1004 egid=1005 sgid=1005 fsgid=1005 tty=(none) ses=4404 comm="sshd" exe="/usr/sbin/sshd" res=0

audit: type=1302 audit(1501125815.715:27): item=0 name=2F4C502F5573696E672F5A4849204855412F566572696669636174696F6E204E6F7465732F5A484920485541202D2056204E6F74657320283230313730373235292E646F6378 inode=121766761 dev=00:27 mode=0100644 ouid=1001 ogid=1001 rdev=00:00 nametype=NORMAL

audit: type=1702 audit(1501125815.763:28): op=linkat ppid=24321 pid=24322 auid=1004 uid=1004 gid=1005 euid=1004 suid=1004 fsuid=1004 egid=1005 sgid=1005 fsgid=1005 tty=(none) ses=4404 comm="sshd" exe="/usr/sbin/sshd" res=0

audit: type=1302 audit(1501125815.763:29): item=0 name=2F4C502F5573696E672F5A4849204855412F566572696669636174696F6E204E6F7465732F5A484920485541202D2056204E6F74657320283230313730373235292E646F6378 inode=121766761 dev=00:27 mode=0100644 ouid=1001 ogid=1001 rdev=00:00 nametype=NORMAL

audit: type=1702 audit(1501130582.080:30): op=linkat ppid=25621 pid=25622 auid=1004 uid=1004 gid=1005 euid=1004 suid=1004 fsuid=1004 egid=1005 sgid=1005 fsgid=1005 tty=(none) ses=4521 comm="sshd" exe="/usr/sbin/sshd" res=0

audit: type=1702 audit(1500282812.404:2): op=linkat ppid=16258 pid=16259 auid=1001 uid=1001 gid=1001 euid=1001 suid=1001 fsuid=1001 egid=1001 sgid=1001 fsgid=1001 tty=(none) ses=1203 comm="sshd" exe="/usr/sbin/sshd" res=0

audit: type=1302 audit(1500282812.404:3): item=0 name="/storage/D/MyDocs/Database.sqlite" inode=117178444 dev=00:27 mode=0100644 ouid=1004 ogid=1005 rdev=00:00 nametype=NORMAL

...

---------------------- Kernel Audit End ------------------------- 

Eu quero perguntar:

  1. O que eles realmente querem dizer?
  2. Como verificar a definição de "tipo"? (como type=1702 e type=1302 )?

Obrigado! ~

    
por Mamsds 15.08.2017 / 11:04

1 resposta

2

Isso faz parte do framework de auditoria do Linux. Veja aqui link Por exemplo, 1702 e 1302 significa:

1702 /* Suspicious use of file links */ 1302 /* Filename path information */

Para as Unmatched Entries você precisa ver suas configurações específicas em logwatch.conf e audit.conf

Por exemplo, vamos ver o que isso significa.

audit: type=1702 audit(1501125815.715:26): op=linkat ppid=24321 pid=24322 auid=1004 uid=1004 gid=1005 euid=1004 suid=1004 fsuid=1004 egid=1005 sgid=1005 fsgid=1005 tty=(none) ses=4404 comm="sshd" exe="/usr/sbin/sshd" res=0

Este é o "Uso suspeito de links de arquivo" para o ID de usuário 1004. Portanto, você precisa verificar qual usuário é esse. Ele está se referindo à operação "linkat" que é uma função do sistema linux e foi invocada pelo sshd. A auditoria sinalizou isso como suspeito (note que ele não negou ou bloqueou). Então, algo em seu sistema está executando o linkat de chamada sys (que basicamente cria um novo nome de arquivo, mas eu não estou familiarizado com essa chamada).

    
por 15.08.2017 / 14:06