Interpretando registros auditd part1

1

Recentemente, habilitamos a auditoria em um dos nossos servidores CentOS 7.3 e, ao revisar alguns relatórios básicos, percebi que há uma série de eventos com falha, digamos, cerca de ~ 10K por dia:

# aureport -x --failed | grep 03/29 | wc -l
10454

Estou tentando entender quais são alguns desses eventos com falha, mas não estou indo muito longe. Exemplo de um dos mais comuns, evento 8339524:

grep 8339524 audit.log
audit.log:node=hostname1.internal type=SYSCALL msg=audit(1490796601.096:8339524): arch=c000003e syscall=2 success=no exit=-6 a0=4a9037 a1=802 a2=6eb028 a3=7ffe761484d0 items=1 ppid=16090 pid=16094 auid=0 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=301903 comm="sh" exe="/usr/bin/bash" subj=system_u:system_r:system_cronjob_t:s0-s0:c0.c1023 key="root"
audit.log:node=hostname1.internal type=PATH msg=audit(1490796601.096:8339524): item=0 name="/dev/tty" inode=1036 dev=00:05 mode=020666 ouid=0 ogid=5 rdev=05:00 obj=system_u:object_r:devtty_t:s0 objtype=NORMAL

Eu posso ver que o usuário root executou um comando 'sh', mas o que exatamente foi lançado, ou seja, o que está acontecendo no sistema? Estou ciente de ter ausearch interpretar o evento em forma legível, mas isso não parece transmitir muita informação nova:

# ausearch --interpret  -a 8339524
----
node=hostname1.internal type=PATH msg=audit(03/29/2017 16:10:01.096:8339524) : item=0 name=/dev/tty inode=1036 dev=00:05 mode=character,666 ouid=root ogid=tty rdev=05:00 obj=system_u:object_r:devtty_t:s0 objtype=NORMAL 
node=hostname1.internal type=SYSCALL msg=audit(03/29/2017 16:10:01.096:8339524) : arch=x86_64 syscall=open success=no exit=ENXIO(No such device or address) a0=0x4a9037 a1=O_RDWR|O_NONBLOCK a2=0x6eb028 a3=0x7ffe761484d0 items=1 ppid=16090 pid=16094 auid=root uid=root gid=root euid=root suid=root fsuid=root egid=root sgid=root fsgid=root tty=(none) ses=301903 comm=sh exe=/usr/bin/bash subj=system_u:system_r:system_cronjob_t:s0-s0:c0.c1023 key=root 

isso é um problema com a abertura / dev / tty? Desde que o arquivo do dispositivo está lá e se parece com outros terminais. Além disso, o subj = system_u: system_r: system_cronjob_t sugere que é uma coisa relacionada ao cron job? A única entrada no crontab do servidor é configurada para ser executada a * / 3 a cada hora, portanto, não corresponde ao registro de data e hora 16:10 do evento.

    
por user223509 30.03.2017 / 12:20

0 respostas