私は非常に一般的な監査ルールセットを使用してDebian 11サーバーでauditdを実行しています。監査ログには以下の項目が記入されます。それが何なのかよく分からない。誰もが識別するのに役立ちますか? ouidとogitの両方がゼロであるため、ルートが何かをすることに関連しているとします。これは正しいですか?
type=Path msg=audit(1712839234.13338212): item=2 name="/lib/ld-linux-x86-64.so.2" inode=1573503 dev=fe:05 mode=0100755 ouid=0 ogid=0 rdev=00:00 nametype=NORMAL cap_fp=0 cap_fe=0 fver=0 frootid=0
答え1
audit.rules
Floria Rossファイルへのリンクを見ました。私はそれを普遍的なルールセットと呼びません。それはかなり長く、すべてを網羅しています。
ただし、項目は1つだけリストされていますmsg=audit(1712839234.13338212)
。この項目の横に同じタイムスタンプを共有する項目はありますか1712839234.13338212
?
監査ログの構文復号化を開始するには、次を参照してください。https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/8/html/security_hardening/auditing-the-system_security-hardening
type=PATH
デフォルトでは、オブジェクト所有者uid 0(root)によって呼び出されますname="/lib/ld-linux-x86-64.so.2"
。ld-linux-x86-64.so.2
私が今まで解読できるのはこれです。
/lib64/ld-linux-x86-64.so.2 とは何ですか、なぜファイルの実行に使用できますか?
REHL 8.9へのls-l /lib64/ld-linux-x86-64.so.2
リンクld-2.28.so
とyum whatprovides
ソースを表示します glibc-2.28-225.el8_8.6.x86_64
。したがって、これまで言えるのは、ルート動的リンカーに対して多くの呼び出しをしているということです。そのルールファイルのどのルールが原因で起こったのかわかりません。最初の提案は次のとおりです。
- すべてのルールを削除し、ログエントリが消えていることを確認してください。
- 次に、ログの氾濫を引き起こすルールの範囲を絞り込むまでルールブロックを再追加します。
-w
すべてのルールを最初に実行してから、すべての-a
ルールを実行することをお勧めします。 - ルールファイルをテストする時間がありません。