为什么sshd accept syscall在不同版本的Linux审计框架中具有不一致的行为?
审计守护进程似乎无法在我的Ubuntu14VM上捕获来自sshd的accept事件。我为接受系统调用设置了审核规则。然后我运行auditd并注意到我没有得到accept调用的事件。但是,如果我随后重新启动sshd,那么当我尝试使用ssh将事件放入框中时,我将开始在auditd中获取事件 使问题复杂化的是,我用两种不同的内核进行了尝试,并在这两种内核上看到了相同的行为。我还尝试了几个不同版本的auditd。我也在Ubuntu16上尝试过,但是auditd没有出现这种行为。我将把所有细节放在下面 我发现了一个类似的问题,但这个解决方案似乎不是这里的答案。感谢您的任何帮助、建议或见解。谢谢为什么sshd accept syscall在不同版本的Linux审计框架中具有不一致的行为?,linux,ubuntu,kernel,system-calls,audit,Linux,Ubuntu,Kernel,System Calls,Audit,审计守护进程似乎无法在我的Ubuntu14VM上捕获来自sshd的accept事件。我为接受系统调用设置了审核规则。然后我运行auditd并注意到我没有得到accept调用的事件。但是,如果我随后重新启动sshd,那么当我尝试使用ssh将事件放入框中时,我将开始在auditd中获取事件 使问题复杂化的是,我用两种不同的内核进行了尝试,并在这两种内核上看到了相同的行为。我还尝试了几个不同版本的auditd。我也在Ubuntu16上尝试过,但是auditd没有出现这种行为。我将把所有细节放在下面 我
我在VirtualBox 5.1.10中运行所有虚拟机,并使用64位机器。对于Ubuntu 14,我在3.13.0-96和4.4.0-47内核上测试了auditd。在Ubuntu 16上,我在4.4.0-38上测试了它。Ubuntu14内核上的这种扩展似乎排除了对kauditd进行更改的可能性 我使用了2.4.5和2.3.2。在Ubuntu 14上,我使用apt安装了2.3.2,并从源代码构建了2.4.5。在Ubuntu 16上,我使用apt安装了2.4.5,并从源代码构建了2.3.2。在Ubuntu14上,他们都在重新启动sshd代理之前没有收到sshd accept调用的通知,而在Ubuntu16上,他们都没有重新启动就收到了通知 以下是复制问题的过程:
sudo auditctl-lsudo auditctl-a退出,始终-F arch=b64-S接受sudo auditctl-lsudo auditd-fsyscall=43 sudo /etc/init.d/ssh restart