e
Немного не так понял корректно заданный вопрос )
Теперь суть ясна, нужно подумать, как их можно попробовать исключить.
Теперь суть ясна, нужно подумать, как их можно попробовать исключить.
Size: a a a
2020 July 10
y
в конфиге можно исключать сисколы по путям
y
для отдельных файлов
m
Пробовал несколько:
-a exit,never -F path=/lib64/ld-linux-x86-64.so.2 -F perm=rwax -k test
И пробовал все syscall по пути убрать:
-a exit,never -S all -F path=/lib64/ld-linux-x86-64.so.2 -k test
-a exit,never -F path=/lib64/ld-linux-x86-64.so.2 -F perm=rwax -k test
И пробовал все syscall по пути убрать:
-a exit,never -S all -F path=/lib64/ld-linux-x86-64.so.2 -k test
m
в конфиге можно исключать сисколы по путям
Ты имеешь в виду auditd.conf?
y
Ты имеешь в виду auditd.conf?
в audit.rules
m
А, ну вот я и сидел сегодня весь день писал-искал рулю работающую, не вышло пока
m
Немного не так понял корректно заданный вопрос )
Теперь суть ясна, нужно подумать, как их можно попробовать исключить.
Теперь суть ясна, нужно подумать, как их можно попробовать исключить.
а точно можно исключить часть сообщения правилом?
PATH - это просто часть события execve в данном случае.
PATH - это просто часть события execve в данном случае.
m
Ну вот я и пытаюсь это понять. По идее да, идёт вызов, необходимый для запуска бинаря и вроде как на уровне ядра уже через этот линкер запускается бинарь. Но просто именно для этого линкера генерируется куча PATH, и неужели нет способа сделать так чтобы не было событий PATH по линкеру, сисколы пускай остаются по всяким бинарям.
m
Просто получается, в системе есть механизм, из-за которого на каждый запуск каждого бинаря я получаю ещё событие PATH отдельное, звучит как жуткая иррациональность, поэтому я думаю, что решение должно быть. Или нет...
m
Я просто к тому, что вряд-ли я первый в сообществе, кто столкнулся с этим
m
если мы про execve, то тм будет одно событие , состоящее из нескольких записей - SYSCALL,EXECVE,PATH,CWD,PROCTITLE и т.д., объединенных одним audit event id
m
наверно можно попробовать убрать определенные типы событий через
-a always,exclude -F msgtype=xxx (где xxx=CWD или EOE и т.д.)
но я не уверен так сразу что там можно фильтр по конкретным значениям указать
-a always,exclude -F msgtype=xxx (где xxx=CWD или EOE и т.д.)
но я не уверен так сразу что там можно фильтр по конкретным значениям указать
m
Хммм, попробую - отпишусь
K
Привет, никто не сталкивался с проблемой большого числа auditd PATH событий с name=/lib64/ld-linux-x86-64.so.2? Это линкер, через который почти каждый бинарь в системе запускается, как я понял. Кто-нибудь сталкивался, пробовал исключать события из auditd?
Ты бы лучше показал под какое правило они попадают, тогда можно подумать как в самом правиле это поправить, и задача какая исключить только этот path или всю обвязку по сисколу включая сам сискол? Два разных подхода будет к решению проблемы.
m
Ты бы лучше показал под какое правило они попадают, тогда можно подумать как в самом правиле это поправить, и задача какая исключить только этот path или всю обвязку по сисколу включая сам сискол? Два разных подхода будет к решению проблемы.
Задача именно исключить этот path.
K
Задача именно исключить этот path.
Тогда проще всего его фильтровать при отправке, рсислогом или что будешь использовать
m
Да, при отправке проще, ясное дело, но думал мб средствами auditd сделать
m
Я кстати, локализовал в правилах из-за чего такая ситуация. Я отслеживаю execve для определенных auid правилом:
-a always,exit -S execve -F auid>=1000 -F auid!=4294967295 -k test
-a always,exit -S execve -F auid>=1000 -F auid!=4294967295 -k test
m
Вот именно с ним для всех вызванных бинарей параллельно path сообщение для линкера генерируется