(selinux?) audit сообщения спамят и засирают консоль с fb

0

1

Эксплуатирую эту железку с archlinux arm на борту. Все круто, кроме одного неприятного момента:

через неделю простоя, ботнеты сообразили, что я снова в строю, и начали брутить мой ssh. Я, как водится, завел fail2ban и сижу спокойно, однако обнаружилось неприятное: во время неудачного логина на экране, перерисовывая framebuffer с kodi, выскакивают куски «системного лога» с алертами от kernel audit.

В моей установке искаропки все работает на одной виртуальной консоли, в том числе фреймбуффер с коди. Перевешивать на другую я опасаюсь — ну как что отвалится. Остается один вариант — отключить долбанные алерты.

Пробовал запретить journald форвардиться на tty и wall, не помогло, потом, разглядев куски текста, понял, что отображаются только «kernel audit» сообщения, и никакие более. И они не похожи на вывод journalctl.

Чтобы было более понятно, как оно выглядит, изобразил вот демку.

Во время просмотра оно появляется и исчезает очень быстро (до перерисовки кадра), но все равно раздражает, потому что, блин, мигает. Когда видео не идет — может держаться до минуты (видимо, kodi пореже перерисовывает свои менюшки), пугая не в меру впечатлительных гостей.

Как мне с этим побороться? Как выключить вывод audit сообщений в консоль, или вообще их нафиг выключить?

Ссылка

←	просмотр upnp/dlna шар через Nautilus

Steam - смена папки для игр. Нужна помощь!

→

Повесь sshd на другой порт. Боты как правило утруждают себя сканированием только 22-ого порта.

m0rph ★★★★★
(19.02.15 11:44:25 MSK)

auditctl -e 0

mky ★★★★★
(19.02.15 11:47:17 MSK)

Ссылка

Настрой уже syslog ( rsyslog, syslog-ng или что там у тебя )

syslog берёт логи из источников, сортирует и отправляет туда, куда сказано в конфиге. В т.ч. на консоль, и это можно отключить, ограничить, перенаправить

router ★★★★★
(19.02.15 11:52:28 MSK)

Ответ на: комментарий от m0rph 19.02.15 11:44:25 MSK

Тоже вариант. А ещё лучше - не выставлять голой ж@#$й в интернет. Для этого придумали файрволы и nat

router ★★★★★
(19.02.15 11:53:52 MSK)

Ответ на: комментарий от router 19.02.15 11:53:52 MSK

не выставлять голой ж@#$й в интернет

стоит за натом как раз, но средствами дешевенького роутера

Повесь sshd на другой порт

это вариянт на крайний случай, не хочу другой порт, хочу 22

auditctl -e 0

а если оставить аудит, но запретить ему спамить?

gistart ★
(19.02.15 11:56:33 MSK) автор топика

Ответ на: комментарий от router 19.02.15 11:52:28 MSK

к сожалению, дело не в сислоге и не в journald, я ж написал

gistart ★
(19.02.15 11:57:38 MSK) автор топика

Ответ на: комментарий от gistart 19.02.15 11:56:33 MSK

стоит за натом как раз, но средствами дешевенького роутера

Ну и закрой доступ к 22 порту из интернета, кроме как с IP твоей страны

это вариянт на крайний случай, не хочу другой порт, хочу 22

Хоти, этого тебе никто не запретит %) Но все вменяемые люди внешний ssh вешают на нестандартный порт. Также см. port knocking

а если оставить аудит, но запретить ему спамить?

См. выше про syslog

router ★★★★★
(19.02.15 11:58:44 MSK)

Ответ на: комментарий от gistart 19.02.15 11:56:33 MSK

не хочу другой порт, хочу 22

Ну и ССЗБ

~~Valkeru~~ ★★★★
(19.02.15 11:59:34 MSK)

Ссылка

Ответ на: комментарий от gistart 19.02.15 11:57:38 MSK

к сожалению, дело не в сислоге и не в journald, я ж написал

И тем не менее, auditd пишет логи в syslog. Проверяй лучше

У auditd также есть собственный лог, см. auditd.conf

router ★★★★★
(19.02.15 12:00:16 MSK)

Ответ на: комментарий от router 19.02.15 11:58:44 MSK

syslog

я запретил journald все перенаправления, кроме как в свое волшебное бинарное хранилище — проблемы не исчезла

подозреваю, эти сообщения валятся в обход «сислог» механизма. они не похожи на вывод journalctl, только они выскакивают во фреймбуффер

или я ошибаюсь?

люди внешний ssh вешают на нестандартный порт

атака длится года два, точно уже не помню. мой пароль они не пробрутят, я а люблю, чтоб удобно, чтоб 22й порт и все дела

этот вариант — на совсем крайний случай

gistart ★
(19.02.15 12:05:44 MSK) автор топика

Ответ на: комментарий от router 19.02.15 12:00:16 MSK

Кстати, на скриншоте не только auditd, но и crond, pam и прочее. Т.е. дело именно в syslog или что там у тебя его заменяет

router ★★★★★
(19.02.15 12:06:10 MSK)

Ответ на: комментарий от gistart 19.02.15 12:05:44 MSK

а люблю, чтоб удобно, чтоб 22й порт и все дела

cat ~/.ssh/config

Host xbmc
  HostName xbmc.domain.ru
  Port 37259

потом ssh xbmc

router ★★★★★
(19.02.15 12:08:42 MSK)
Последнее исправление: router 19.02.15 12:10:13 MSK (всего исправлений: 1)

Ссылка

Это действительный скрин или...?

intelfx ★★★★★
(19.02.15 12:10:26 MSK)

Ответ на: комментарий от router 19.02.15 12:06:10 MSK

это не скриншот, это я нарисовал для наглядности

поймать момент в реале очень сложно, да и железка дома, а я на работе

ssh xbmc

это все прекрасно, только это не решение проблемы, а уход в кусты

нет, я из-за ботов не хочу доставлять себе неудобства, помнить порт, и прописывать всякое на всех своих устройствах

gistart ★
(19.02.15 12:11:55 MSK) автор топика

Ответ на: комментарий от intelfx 19.02.15 12:10:26 MSK

нет, нарисовал в гимпе за 2 минуты, чтоб было понятно о чем речь

gistart ★
(19.02.15 12:12:14 MSK) автор топика

Ответ на: комментарий от gistart 19.02.15 12:12:14 MSK

Ок. Тогда пальцем в небо:

echo "kernel.printk = 3" > /etc/sysctl.d/99-loglevel.conf

(Ну и ребут / systemctl restart systemd-sysctl, естественно.)

Это запретит вывод в консоль ядерных сообщений с приоритетом, меньшим третьего (т. е. error).

intelfx ★★★★★
(19.02.15 12:14:17 MSK)
Последнее исправление: intelfx 19.02.15 12:16:16 MSK (всего исправлений: 2)

Ссылка

Ответ на: комментарий от router 19.02.15 12:00:16 MSK

cubox> ps ax | grep aud
  171 ?        S      0:00 [kauditd]
cubox> sudo find / -name auditd.conf
cubox>

gistart ★
(19.02.15 12:14:37 MSK) автор топика

Ответ на: комментарий от gistart 19.02.15 12:11:55 MSK

поймать момент в реале очень сложно, да и железка дома, а я на работе

Запустить в скрипте несколько ssh сессий с ssh-askpass и заведомо некорректным паролем?

это все прекрасно, только это не решение проблемы, а уход в кусты

Я бы сказал, что ssh из интернета на стандартный порт - это тоже проблема, причём серьёзная.

нет, нарисовал в гимпе за 2 минуты, чтоб было понятно о чем речь

[грязно выругался]

router ★★★★★
(19.02.15 12:14:45 MSK)

Ответ на: комментарий от gistart 19.02.15 12:14:37 MSK

о, спасибо, добрый человек! судя по описанию printk — то, что нужно

вечером узнаю, помогло или нет

gistart ★
(19.02.15 12:17:22 MSK) автор топика

Ссылка

Ответ на: комментарий от router 19.02.15 12:14:45 MSK

что ssh из интернета на стандартный порт - это проблема

рут логин запрещен, пароль моего юзера — сложный, работает fail2ban

[грязно выругался]

в посте написано, что это демка, и я ее «изобразил»

gistart ★
(19.02.15 12:19:00 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	просмотр upnp/dlna шар через Nautilus

Desktop

Steam - смена папки для игр. Нужна помощь!

→

Похожие темы