audit activity em abstract domain sockets?

6

Usando o sistema de auditoria ( auditd , auditctl ) no Linux, é possível registrar conexões com sockets de domínio Unix no namespace abstrato (ou mais exatamente para filtrá-las com base no caminho (abstrato) )?

Por exemplo, posso registrar conexões com o servidor X em :0 via /tmp/.X11-unix/X0 com:

auditctl -a exit,always -F arch=b64 -S connect -F path=/tmp/.X11-unix/X0

Mas como eu faria o mesmo com conexões no namespace abstrato ( @/tmp/.X11-unix/X0 )?

    
por Stéphane Chazelas 03.02.2014 / 16:54

1 resposta

1

Eu dei uma olhada rápida e parece que o kernel irá rejeitar um caminho que não inicia com '/', então não é possível passar um nulo lá. A menos que eu esteja olhando para o lugar errado, é isso que reforça isso:

Em kernel / audit_watch.c: audit_to_watch () :

if (path[0] != '/' || path[len-1] == '/' ||
    krule->listnr != AUDIT_FILTER_EXIT ||
    op != Audit_equal ||
    krule->inode_f || krule->watch || krule->tree)
        return -EINVAL;

Pode valer a pena preencher um relatório / solicitação de bug contra isso

    
por 23.09.2015 / 15:55

Tags