一、环境信息
内核信息:
6.4.0-3.0.0.11.oe2309.aarch64
缺陷归属组件:
audit
缺陷归属的版本:
audit-3.1.1-1
二、问题复现步骤
1、添加普通用户并设置用户密码
2、配置审计规则“-a always,exit -F arch=b64 -S mount -F auid>=1000 -F auid!=-1 -F key=mount”后重启audit服务
3、ssh登录用户环境执行mount命令挂载文件系统
三、实际结果
ssh登录用户环境执行mount命令触发规则后无相关audit日志
Hi liu_yangmei, welcome to the openEuler Community.
I'm the Bot here serving you. You can find the instructions on how to interact with me at Here.
If you have any questions, please contact the SIG: sig-security-facility, and any of the maintainers: @robertosassu , @gwei3 , @wucaijun , @zhujianwei001 , @mailofzxf , @寒江舟
此处可能存在不合适展示的内容,页面不予展示。您可通过相关编辑功能自查并修改。
如您确认内容无涉及 不当用语 / 纯广告导流 / 暴力 / 低俗色情 / 侵权 / 盗版 / 虚假 / 无价值内容或违法国家有关法律法规的内容,可点击提交进行申诉,我们将尽快为您处理。
mount命令执行有两种方式:
一种是执行mount系统调用,另一种是执行move_mount系统调用,move_mount的功能看起来是5.2进的社区,openeuler这个系统audit规则不生效的原因是因为它走的是move_mount这条路,针对mount的syscall审计不会命中
util-linux包升级到2.39.1版本,mount命令的系统调用由mount改为fsconfig,导致该用例无法生成审计日志。mount命令变更详细如下:
https://docs.kernel.org/filesystems/mount_api.html
util-linux 2.39.1版本mount命令系统调用由mount改为fsconfig,由于标准库中还未添加 new mount API 相关的代码,因此使用raw syscall 来进行相关的系统调用。
登录 后才可以发表评论