Posso ter certeza de que o nome do campo de um registro de auditoria do Linux é único?

Question

Posso ter certeza de que o nome do campo de um registro de auditoria do Linux é único?

#1 resposta do (0 votos)

3

Estou criando um analisador / conversor a partir do formato de auditoria do Linux. Enquanto estudava o formato, olhando exemplos e lendo a documentação, deparei com um problema.

Posso ter certeza de que os nomes de campo em um único registro são exclusivos ?

Por exemplo, um registro como este é legal / aparece em implementações do mundo real:

type=TYPE msg=audit(1.002:3): msg="the first msg field" msg="the second msg field"

A segunda questão relacionada é se posso haver apenas um pid em um evento? Por exemplo, este evento é legal / aparece em implementações do mundo real:

type=TYPE1 msg=audit(1.002:3): pid=0 msg="texthere"
type=TYPE2 msg=audit(1.002:3): pid=0 msg="differenttexthere"

security logs linux audit linux-audit

por Mateusz Piotrowski 04.07.2016 / 16:06

1 resposta



                    
                Tags
                                            security
                                            logs
                                            linux
                                            audit
                                            linux-audit
                                    
            
        

         
                            Como definir a saída de som HDMI como padrão no Ubuntu 16.04
                                        Problemas de exibição de texto - certos aplicativos mostram apenas a e _

score 0 · Accepted Answer

De acordo com a resposta de Steve Grubb na lista de discussão oficial ( link para o e-mail ):

Resposta de Steve:

Is it possible that there are duplicate fields in a record?


Às vezes. Eu tentei consertar isso quando isso acontece. O problema é   que nem todo mundo executa seu código de auditoria por esta lista de e-mail para que   pode verificá-lo para ver se está bem formado. O que estou planejando fazer é   escrever um conjunto de validações de eventos de auditoria que verifique se os eventos estão   bem formada e que os eventos esperados estão sendo escritos quando são   deveria e na ordem que eles são supoosed para. Limpando   esses eventos estão no topo da minha lista TODO.
Something like (which doesn’t make much sense obviously):
    type=CWD msg=audit(1464013682.961:409):  cwd="/root” cwd=“/usr”
Algo como isso não vai acontecer, é mais provável em torno de auid e uid. A razão é que o kernel adiciona algo automaticamente porque é uma fonte confiável de informações. Espaço do usuário pode escrever informação contraditória. Por exemplo, se um daemon está trabalhando em nome de um usuário, mas seu auid não foi definido para o usuário, então você pode ver isso.



 tl; dr 

 É possível, no entanto, é incomum e desencorajado.