내 로그 파일에 다음 줄이 많이 있습니다: /var/log/auth.log:
Mar 4 09:34:39 hostname audit: AUDIT1334 prog-id=18 op=UNLOAD
Mar 4 09:34:39 hostname audit: AUDIT1334 prog-id=17 op=UNLOAD
Mar 4 09:34:39 hostname audit: AUDIT1334 prog-id=16 op=UNLOAD
Mar 4 09:34:39 hostname audit: AUDIT1334 prog-id=15 op=UNLOAD
Mar 4 09:34:39 hostname audit: AUDIT1334 prog-id=12 op=UNLOAD
Mar 4 09:34:39 hostname audit: AUDIT1334 prog-id=11 op=UNLOAD
Mar 4 09:34:39 hostname audit: AUDIT1334 prog-id=19 op=LOAD
Mar 4 09:34:39 hostname audit: AUDIT1334 prog-id=20 op=LOAD
Mar 4 09:34:39 hostname audit: AUDIT1334 prog-id=21 op=LOAD
Mar 4 09:34:39 hostname audit: AUDIT1334 prog-id=22 op=LOAD
Mar 4 09:34:39 hostname audit: AUDIT1334 prog-id=23 op=LOAD
Mar 4 09:34:39 hostname audit: AUDIT1334 prog-id=24 op=LOAD
Mar 4 09:34:39 hostname audit: AUDIT1334 prog-id=24 op=UNLOAD
Mar 4 09:34:39 hostname audit: AUDIT1334 prog-id=23 op=UNLOAD
Mar 4 09:34:39 hostname audit: AUDIT1334 prog-id=22 op=UNLOAD
Mar 4 09:34:39 hostname audit: AUDIT1334 prog-id=21 op=UNLOAD
Mar 4 09:34:39 hostname audit: AUDIT1334 prog-id=20 op=UNLOAD
Mar 4 09:34:39 hostname audit: AUDIT1334 prog-id=19 op=UNLOAD
Mar 4 09:34:39 hostname audit: AUDIT1334 prog-id=25 op=LOAD
Mar 4 09:34:39 hostname audit: AUDIT1334 prog-id=26 op=LOAD
Mar 4 09:34:39 hostname audit: AUDIT1334 prog-id=27 op=LOAD
Mar 4 09:34:39 hostname audit: AUDIT1334 prog-id=28 op=LOAD
Mar 4 09:34:39 hostname audit: AUDIT1334 prog-id=29 op=LOAD
Mar 4 09:34:39 hostname audit: AUDIT1334 prog-id=30 op=LOAD
이 코드 줄이 무엇을 의미하는지 설명해 주실 수 있나요?
답변1
매우 기본적인 형식으로 감사 하위 시스템에서 syslog/log로 메시지를 보내기 위한 일부 구성이 마련되어 있는 것 같습니다.
? 에 저장된 로그에서 더 자세한 메시지를 찾을 수 있을까요 /var/log/audit/?
그럼에도 불구하고 AUDIT1334감사 하위 시스템 메시지를 syslog 형식으로 변환하도록 권장하는 모든 항목은 감사 하위 시스템 메시지 유형 #1334를 완전히 구문 분석하는 방법을 모를 수 있습니다.
~에 따르면감사 메시지 사전Linux 감사 하위 시스템에 대한 프로그래밍 문서에서 메시지 #1334는 AUDIT_BPF로드 또는 언로드를 나타냅니다.버클리 패킷 필터프로그램.
(Berkeley Packet Filter, 줄여서 BPF는 사용자 공간 프로그램이 커널 모드에서 실행될 이벤트 기반 바이트 코드 프로그램을 지정할 수 있도록 하는 Linux 커널 하위 시스템입니다. 프로그램은 이를 사용하여 커널에 네트워크 트래픽을 사전 필터링하도록 지시할 수 있습니다. , 또는 네트워크 로드 밸런싱 체계를 구현하는 데 사용되지만 현재 BPF 구현에는 네트워크 관련 기능 이상의 기능이 포함되어 있습니다.여기에서 BPF에 대한 보다 기술적인 소개를 찾을 수 있습니다.확실히BPF에는 공격적인 잠재력도 있습니다..)
감사 AUDIT_BPF이벤트 유형2019년 말에 커널에 추가된 것 같습니다., 따라서 감사 메시지를 처리하는 것은 2019 이하 버전일 가능성이 높지만 커널은 그보다 최신인 것으로 보입니다.
분명히 cgroup을 사용하려면 systemd많은 작은 BPF 프로그램이 필요할 수 있습니다. 따라서 시스템이 systemd이러한 메시지를 생성할 때 많은 시스템 서비스 단위를 사용하고 재부팅하거나 다시 시작하는 경우 이러한 메시지는 아마도 정상일 것입니다. 하지만 여전히 이러한 로그를 생성하기 위해 업데이트를 고려할 것입니다. 메시징 구성 요소(아마도 syslog 플러그인) auditd?)는 이러한 메시지를 더 풍부한 정보의 형태로 받습니다.
그렇지 않으면 너무 많은 프로세스(다른 prog-id값)가 아무런 이유 없이 BPF 프로그램을 빠르게 로드 및 언로드하는 것을 보면 약간 의심스럽습니다. 귀하의 감사 메시지 처리 프로세스가 #1334 감사 메시지 유형이 무엇인지 전혀 모른다는 사실은 귀하의 시스템이 완전히 최신 상태가 아니므로 알려진 공격에 취약할 수 있음을 시사합니다.