최근 CentOS 7.3 서버에서 auditd를 활성화했으며 일부 기본 보고서를 살펴보면서 하루에 약 10,000개 정도의 실패한 이벤트가 많이 발생하는 것을 발견했습니다.
# aureport -x --failed | grep 03/29 | wc -l
10454
나는 이러한 실패한 사건 중 일부를 이해하려고 노력했지만 아직까지 멀리 가지 못했습니다. 보다 일반적인 이벤트 중 하나인 이벤트 8339524의 예:
grep 8339524 audit.log
audit.log:node=hostname1.internal type=SYSCALL msg=audit(1490796601.096:8339524): arch=c000003e syscall=2 success=no exit=-6 a0=4a9037 a1=802 a2=6eb028 a3=7ffe761484d0 items=1 ppid=16090 pid=16094 auid=0 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=301903 comm="sh" exe="/usr/bin/bash" subj=system_u:system_r:system_cronjob_t:s0-s0:c0.c1023 key="root"
audit.log:node=hostname1.internal type=PATH msg=audit(1490796601.096:8339524): item=0 name="/dev/tty" inode=1036 dev=00:05 mode=020666 ouid=0 ogid=5 rdev=05:00 obj=system_u:object_r:devtty_t:s0 objtype=NORMAL
사용자 루트가 "sh" 명령을 실행한 것을 볼 수 있지만 정확히 무엇이 시작되었는지, 즉 시스템에서 무슨 일이 일어났습니까? ausearch가 이벤트를 사람이 읽을 수 있는 형식으로 해석한다는 것을 알고 있지만 이는 새로운 정보를 많이 전달하지 않는 것 같습니다.
# ausearch --interpret -a 8339524
----
node=hostname1.internal type=PATH msg=audit(03/29/2017 16:10:01.096:8339524) : item=0 name=/dev/tty inode=1036 dev=00:05 mode=character,666 ouid=root ogid=tty rdev=05:00 obj=system_u:object_r:devtty_t:s0 objtype=NORMAL
node=hostname1.internal type=SYSCALL msg=audit(03/29/2017 16:10:01.096:8339524) : arch=x86_64 syscall=open success=no exit=ENXIO(No such device or address) a0=0x4a9037 a1=O_RDWR|O_NONBLOCK a2=0x6eb028 a3=0x7ffe761484d0 items=1 ppid=16090 pid=16094 auid=root uid=root gid=root euid=root suid=root fsuid=root egid=root sgid=root fsgid=root tty=(none) ses=301903 comm=sh exe=/usr/bin/bash subj=system_u:system_r:system_cronjob_t:s0-s0:c0.c1023 key=root
/dev/tty를 여는 데 문제가 있습니까? 장치 파일이 거기에 있고 다른 터미널과 똑같아 보이기 때문입니다. 또한 subj=system_u:system_r:system_cronjob_t는 이것이 cron 작업과 관련된 것임을 나타냅니까? 서버의 crontab에 있는 유일한 항목은 */3 매시간 실행되도록 설정되어 있으므로 이벤트의 16:10 타임스탬프와 일치하지 않습니다.