auditd ログ - /lib/ld-linux-x86-64.so.2 Flood ログ

auditd ログ - /lib/ld-linux-x86-64.so.2 Flood ログ

私は非常に一般的な監査ルールセットを使用してDebian 11サーバーでauditdを実行しています。監査ログには以下の項目が記入されます。それが何なのかよく分からない。誰もが識別するのに役立ちますか? ouidとogitの両方がゼロであるため、ルートが何かをすることに関連しているとします。これは正しいですか?

type=Path msg=audit(1712839234.13338212): item=2 name="/lib/ld-linux-x86-64.so.2" inode=1573503 dev=fe:05 mode=0100755 ouid=0 ogid=0 rdev=00:00 nametype=NORMAL cap_fp=0 cap_fe=0 fver=0 frootid=0

答え1

audit.rulesFloria Rossファイルへのリンクを見ました。私はそれを普遍的なルールセットと呼びません。それはかなり長く、すべてを網羅しています。

ただし、項目は1つだけリストされていますmsg=audit(1712839234.13338212)。この項目の横に同じタイムスタンプを共有する項目はありますか1712839234.13338212

監査ログの構文復号化を開始するには、次を参照してください。https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/8/html/security_hardening/auditing-the-system_security-hardening

type=PATHデフォルトでは、オブジェクト所有者uid 0(root)によって呼び出されますname="/lib/ld-linux-x86-64.so.2"ld-linux-x86-64.so.2私が今まで解読できるのはこれです。

/lib64/ld-linux-x86-64.so.2 とは何ですか、なぜファイルの実行に使用できますか?

REHL 8.9へのls-l /lib64/ld-linux-x86-64.so.2リンクld-2.28.soyum whatprovidesソースを表示します glibc-2.28-225.el8_8.6.x86_64。したがって、これまで言えるのは、ルート動的リンカーに対して多くの呼び出しをしているということです。そのルールファイルのどのルールが原因で起こったのかわかりません。最初の提案は次のとおりです。

  1. すべてのルールを削除し、ログエントリが消えていることを確認してください。
  2. 次に、ログの氾濫を引き起こすルールの範囲を絞り込むまでルールブロックを再追加します。-wすべてのルールを最初に実行してから、すべての-aルールを実行することをお勧めします。
  3. ルールファイルをテストする時間がありません

関連情報