Я использую Debian с установленным Logwatch. Я регулярно получал странные журнальные записи. Я несколько раз искал фактическое значение следующих записей, но все же понятия не имею, что они означают:
--------------------- Kernel Audit Begin ------------------------
**Unmatched Entries** (Only first 100 out of 142 are printed)
audit: type=1702 audit(1501125815.715:26): op=linkat ppid=24321 pid=24322 auid=1004 uid=1004 gid=1005 euid=1004 suid=1004 fsuid=1004 egid=1005 sgid=1005 fsgid=1005 tty=(none) ses=4404 comm="sshd" exe="/usr/sbin/sshd" res=0
audit: type=1302 audit(1501125815.715:27): item=0 name=2F4C502F5573696E672F5A4849204855412F566572696669636174696F6E204E6F7465732F5A484920485541202D2056204E6F74657320283230313730373235292E646F6378 inode=121766761 dev=00:27 mode=0100644 ouid=1001 ogid=1001 rdev=00:00 nametype=NORMAL
audit: type=1702 audit(1501125815.763:28): op=linkat ppid=24321 pid=24322 auid=1004 uid=1004 gid=1005 euid=1004 suid=1004 fsuid=1004 egid=1005 sgid=1005 fsgid=1005 tty=(none) ses=4404 comm="sshd" exe="/usr/sbin/sshd" res=0
audit: type=1302 audit(1501125815.763:29): item=0 name=2F4C502F5573696E672F5A4849204855412F566572696669636174696F6E204E6F7465732F5A484920485541202D2056204E6F74657320283230313730373235292E646F6378 inode=121766761 dev=00:27 mode=0100644 ouid=1001 ogid=1001 rdev=00:00 nametype=NORMAL
audit: type=1702 audit(1501130582.080:30): op=linkat ppid=25621 pid=25622 auid=1004 uid=1004 gid=1005 euid=1004 suid=1004 fsuid=1004 egid=1005 sgid=1005 fsgid=1005 tty=(none) ses=4521 comm="sshd" exe="/usr/sbin/sshd" res=0
audit: type=1702 audit(1500282812.404:2): op=linkat ppid=16258 pid=16259 auid=1001 uid=1001 gid=1001 euid=1001 suid=1001 fsuid=1001 egid=1001 sgid=1001 fsgid=1001 tty=(none) ses=1203 comm="sshd" exe="/usr/sbin/sshd" res=0
audit: type=1302 audit(1500282812.404:3): item=0 name="/storage/D/MyDocs/Database.sqlite" inode=117178444 dev=00:27 mode=0100644 ouid=1004 ogid=1005 rdev=00:00 nametype=NORMAL
...
---------------------- Kernel Audit End -------------------------
Я хочу спросить:
type=1702 и type=1302)?Спасибо! ~
Это часть системы аудита Linux. Посмотреть здесь https://github.com/torvalds/linux/blob/master/include/uapi/linux/audit.h Например, 1702 и 1302 означают:
1702 /* Suspicious use of file links */
1302 /* Filename path information */
Для несопоставленных записей вам нужно посмотреть свои конкретные настройки в logwatch.conf и audit.conf.
Например, давайте посмотрим, что это значит.
audit: type=1702 audit(1501125815.715:26): op=linkat ppid=24321 pid=24322 auid=1004 uid=1004 gid=1005 euid=1004 suid=1004 fsuid=1004 egid=1005 sgid=1005 fsgid=1005 tty=(none) ses=4404 comm="sshd" exe="/usr/sbin/sshd" res=0
Это «Подозрительное использование ссылок на файлы» для идентификатора пользователя 1004. Итак, вам нужно проверить, какой это пользователь. Это относится к операции "linkat", которая является системной функцией Linux и была вызвана sshd. Аудит пометил это как подозрительное (обратите внимание, что он не отрицал и не блокировал). Итак, что-то в вашей системе запускает sys call linkat (который в основном создает новое имя файла, но я не очень знаком с этим вызовом).