저는 매우 일반적인 감사 규칙 세트를 사용하여 Debian 11 서버에서 auditd를 실행하고 있습니다. 감사 로그는 아래와 같은 항목으로 채워집니다. 그것이 무엇인지 잘 모르겠습니다. 누구든지 식별하는 데 도움을 줄 수 있습니까? ouid와 ogit이 모두 0이기 때문에 루트가 뭔가를 하는 것과 관련이 있다고 가정합니다. 이 올바른지?
type=Path msg=audit(1712839234.13338212): item=2 name="/lib/ld-linux-x86-64.so.2" inode=1573503 dev=fe:05 mode=0100755 ouid=0 ogid=0 rdev=00:00 nametype=NORMAL cap_fp=0 cap_fe=0 fver=0 frootid=0
답변1
audit.rulesFloria Ross 파일에 대한 귀하의 링크를 살펴보았습니다 . 나는 그것을 보편적인 규칙 집합이라고 부르지 않을 것입니다. 그것은 꽤 길고 모든 것을 포괄합니다.
그러나 항목 1개만 나열했습니다 msg=audit(1712839234.13338212). 이 항목 옆에 동일한 타임스탬프를 공유하는 항목이 더 있습니까 1712839234.13338212?
감사 로그 구문 해독을 시작하려면 다음을 참조하세요.https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/8/html/security_hardening/auditing-the-system_security-hardening
type=PATH기본적으로 객체 소유자 uid 0(루트)에 의해 호출됩니다 name="/lib/ld-linux-x86-64.so.2". ld-linux-x86-64.so.2제가 지금까지 해독할 수 있는 건 이게 전부입니다...
/lib64/ld-linux-x86-64.so.2는 무엇이며 왜 파일을 실행하는 데 사용할 수 있나요?
REHL 8.9에 대한 ls-l /lib64/ld-linux-x86-64.so.2링크 ld-2.28.so및 yum whatprovides출처를 보여줍니다 glibc-2.28-225.el8_8.6.x86_64. 따라서 지금까지 말할 수 있는 것은 루트 동적 링커에 대해 많은 호출을 하고 있다는 것입니다. 해당 규칙 파일의 어떤 규칙으로 인해 이런 일이 발생했는지는 모르겠습니다. 첫 번째 제안은 다음과 같습니다.
- 모든 규칙을 삭제하고 로그 항목이 사라지는지 확인하세요.
- 그런 다음 로그 범람을 일으키는 규칙의 범위를 좁힐 때까지 규칙 블록을 다시 추가합니다.
-w모든 규칙을 먼저 실행한 다음 모든-a규칙을 실행하는 것이 좋습니다. - 규칙 파일을 테스트할 시간이 없습니다.