【安全】audit的一些问题以及需要注意的地方

audit的一些问题以及需要注意的地方

1 audit存在的一些问题

1.1 audit_cmd_mutex锁占用的问题

当内核生成审计日志后,会以单播形式发送给用户态的某个进程,因此,某个程序如果想要接受审计日志,需要先调用audit_set_pid,然后使用select+recv接收审计日志。

当内核在执行audit_set_pid时,内核会占用audit_cmd_mutex,然后判断是否已经有其他进程占用audit,如果有就会尝试发送消息,从而判断用户态进程在正常接收审计日志,那么该调用就会返回File exists的报错。而在发送消息之前会判断接收缓冲区是否满,如果满,则会进入睡眠状态且不会被唤醒,由于占用了audit_cmd_mutex锁,也会造成bash、sshd等进程进入不可中断状态,系统会如卡死一样。

该问题出现在3.10.0-514到3.10.0-1160,对应了CentOS的7.3~7.9,在CentOS 8修复。

因此,在存在该问题的系统上,不能先执行audit_set_pid,然后通过结果判断,而是应该先干掉占用的进程,只在audit_pid为0时才调用audit_set_pid。

1.2 60秒睡眠的问题

audit有个backlog_limit参数,含义是内核的audit缓存队列上限。当用户态程序消费审计日志过慢,造成缓存队列满时,会触发内核的睡眠机制,造成系统卡顿。

睡眠时间由backlog_wait_time参数控制,该值默认是60秒。当内核版本小于3.14时,该参数不能设置,当内核版本大于3.14时,可以通过接口设置为0,让内核不睡眠。

1.3 systemd-journald-audit.socket服务导致磁盘满的问题

部分系统上会默认开启systemd-journald-audit.socket服务,该服务会接收审计日志并将审计日志写入系统日志,如果系统日志是按周轮转,可能在还未轮转时就将磁盘打满。一种解决办法是停掉该服务。

2 需要注意的地方

  • failure:该参数会影响audit遇到错误时的处理行为,0表示什么也不干,1表示输出日志到系统日志,2表示系统崩溃,默认值为1,为了保证系统的稳定,建议设置为0
  • backlog_limit:audit的缓存队列大小,如果设置太小会导致频繁丢弃日志
  • backlog_wait_time:缓存满的休眠时间,建议设置为0
  • 审计日志解析:为了提高系统的日志处理量,在解析日志时建议引入缓存队列和丢弃机制,并且需要快速执行结束,否则会造成日志丢弃
  • 路径监控的读写分离:在进行路径监控时可以设置需要的操作类型,有4种,分别是读、写、执行、权限变更,对于读而言,如果设置某些路径(例如,/etc/),会导致日志量非常大,解决方案是如果不需要读,则将读去掉,如果需要读,尽量精确到子路径
相关推荐
支付宝体验科技几秒前
AI4SDL:支付宝业务应用研发安全保障体系建设实践
安全
没逻辑6 小时前
Post-Quantum HTTPS:未来的安全通信架构
后端·安全
LH_R7 小时前
OneTerm开源堡垒机实战(四):访问授权与安全管控
运维·后端·安全
LH_R1 天前
OneTerm开源堡垒机实战(三):功能扩展与效率提升
运维·后端·安全
你的人类朋友2 天前
什么是API签名?
前端·后端·安全
深盾安全2 天前
ProGuard混淆在Android程序中的应用
安全
CYRUS_STUDIO2 天前
利用 Linux 信号机制(SIGTRAP)实现 Android 下的反调试
android·安全·逆向
白帽黑客沐瑶2 天前
【网络安全就业】信息安全专业的就业前景(非常详细)零基础入门到精通,收藏这篇就够了
网络·安全·web安全·计算机·程序员·编程·网络安全就业
深盾安全2 天前
符号执行技术实践-求解程序密码
安全
贾维思基2 天前
被监管警告后,我连夜给系统上了“双保险”!
安全