로그에 있는 LOAD, UNLOAD 줄의 의미: /var/log/auth.log

Question

매우 기본적인 형식으로 감사 하위 시스템에서 syslog/log로 메시지를 보내기 위한 일부 구성이 마련되어 있는 것 같습니다.

? 에 저장된 로그에서 더 자세한 메시지를 찾을 수 있을까요 /var/log/audit/?

그럼에도 불구하고 AUDIT1334감사 하위 시스템 메시지를 syslog 형식으로 변환하도록 권장하는 모든 항목은 감사 하위 시스템 메시지 유형 #1334를 완전히 구문 분석하는 방법을 모를 수 있습니다.

~에 따르면감사 메시지 사전Linux 감사 하위 시스템에 대한 프로그래밍 문서에서 메시지 #1334는 AUDIT_BPF로드 또는 언로드를 나타냅니다.버클리 패킷 필터프로그램.

(Berkeley Packet Filter, 줄여서 BPF는 사용자 공간 프로그램이 커널 모드에서 실행될 이벤트 기반 바이트 코드 프로그램을 지정할 수 있도록 하는 Linux 커널 하위 시스템입니다. 프로그램은 이를 사용하여 커널에 네트워크 트래픽을 사전 필터링하도록 지시할 수 있습니다. , 또는 네트워크 로드 밸런싱 체계를 구현하는 데 사용되지만 현재 BPF 구현에는 네트워크 관련 기능 이상의 기능이 포함되어 있습니다.여기에서 BPF에 대한 보다 기술적인 소개를 찾을 수 있습니다.확실히BPF에는 공격적인 잠재력도 있습니다..)

감사 AUDIT_BPF이벤트 유형2019년 말에 커널에 추가된 것 같습니다., 따라서 감사 메시지를 처리하는 것은 2019 이하 버전일 가능성이 높지만 커널은 그보다 최신인 것으로 보입니다.

분명히 cgroup을 사용하려면 systemd많은 작은 BPF 프로그램이 필요할 수 있습니다. 따라서 시스템이 systemd이러한 메시지를 생성할 때 많은 시스템 서비스 단위를 사용하고 재부팅하거나 다시 시작하는 경우 이러한 메시지는 아마도 정상일 것입니다. 하지만 여전히 이러한 로그를 생성하기 위해 업데이트를 고려할 것입니다. 메시징 구성 요소(아마도 syslog 플러그인) auditd?)는 이러한 메시지를 더 풍부한 정보의 형태로 받습니다.

그렇지 않으면 너무 많은 프로세스(다른 prog-id값)가 아무런 이유 없이 BPF 프로그램을 빠르게 로드 및 언로드하는 것을 보면 약간 의심스럽습니다. 귀하의 감사 메시지 처리 프로세스가 #1334 감사 메시지 유형이 무엇인지 전혀 모른다는 사실은 귀하의 시스템이 완전히 최신 상태가 아니므로 알려진 공격에 취약할 수 있음을 시사합니다.

Answer 1