Я вижу странные записи для sshd в моих журналах аудита, например:
type=SECCOMP audit(1433519794.902:46): auid=20003 uid=22 gid=22 ses=21 pid=25136 comm="sshd" exe="/usr/sbin/sshd" sig=31 arch=40000003 syscall=102 compat=0 ip=0xb76c8aac code=0x0
type=SECCOMP msg=audit(1433785727.186:10262): auid=20003 uid=22 gid=22 ses=21 pid=11217 comm="sshd" exe="/usr/sbin/sshd" sig=31 arch=40000003 syscall=132 compat=0 ip=0xb7670aac code=0x0
Кто-нибудь знает, что происходит? Я предполагаю, что OpenSSH разветвляет изолированный процесс для предварительной проверки, и кто-то пытается выполнить системные вызовы (socketcall и getpgid) на этом этапе подключения.
Все связи, кажется, происходят из Кореи.
Значение syscall вы можете узнать, просто выполнив:
$ ausyscall 102
socketcall
$ ausyscall 132
getpgid
Первая - ошибка апстрима, теперь исправленная (сообщается [1]). ix86 использует этот системный вызов для выключения сокета (закрытие в одну сторону).
Второй вариант выглядит как проблема с упаковкой или каким-то последующим патчем (какой дистрибутив вы используете?), Потому что с моей точки зрения это можно безопасно разрешить - мы разрешали getpid и подобные ему для целей аудита.
Чтобы успокоить вас, здесь нет проблем с безопасностью :) Это, вероятно, происходит при каждом (неудачном) соединении.