Entradas estranhas SECCOMP para sshd no log de auditoria

1

Estou vendo entradas estranhas para o sshd em meus registros de auditoria ao longo das linhas de:

type=SECCOMP audit(1433519794.902:46): auid=20003 uid=22 gid=22 ses=21 pid=25136 comm="sshd" exe="/usr/sbin/sshd" sig=31 arch=40000003 syscall=102 compat=0 ip=0xb76c8aac code=0x0
type=SECCOMP msg=audit(1433785727.186:10262): auid=20003 uid=22 gid=22 ses=21 pid=11217 comm="sshd" exe="/usr/sbin/sshd" sig=31 arch=40000003 syscall=132 compat=0 ip=0xb7670aac code=0x0

Alguém tem alguma ideia do que está acontecendo? Meu palpite é que, o OpenSSH cria um processo de sandbox para preauth e alguém está tentando executar chamadas do sistema ( socketcall e getpgid ) durante essa fase de conexão.

Todas as conexões parecem vir da Coreia.

    
por Robert 08.06.2015 / 22:47

1 resposta

1

O significado de syscall você pode descobrir simplesmente executando:

$ ausyscall 102
socketcall
$ ausyscall 132
getpgid

O primeiro é o bug do upstream, agora corrigido (reportado [1]). ix86 está usando esta chamada de sistema para desligar o soquete (fechar um caminho).

O segundo se parece com problema de empacotamento ou algum patch downstream (qual distribuição você está usando?), porque isso pode ser permitido com segurança do meu ponto de vista - nós estávamos permitindo getpid e similares para fins de auditoria.

Para acalmá-lo, não há preocupação de segurança aqui :) Isso provavelmente está acontecendo com todas as conexões (com falha).

[1] link

    
por 26.06.2015 / 17:13