LINUX.ORG.RU
ФорумAdmin

Это взлом или глюк?


0

2

Сервер, стоящий на продакшене сегодня утром упал (CentOS 5.5). Хостер уверяет что сбоя по питанию не было. В логах последние записи перед падением вот такие:

May 16 09:35:43 phost1 setroubleshoot: SELinux is preventing iptables (iptables_t) "read write" to socket (initrc_t). For complete SELinux messages. run sealert -l 3544d82c-e226-4834-b23c-cd7821d9ec7f

sealert -l 3544d82c-e226-4834-b23c-cd7821d9ec7f выдает вот такое:

Несколько вот таких строк: 

host=phost1 type=AVC msg=audit(1305524443.588:458437): avc:  denied  { read write } for  pid=5915 comm="iptables" path="socket:[64232078]" dev=sockfs ino=64232078 scontext=user_u:system_r:iptables_t:s0 tcontext=user_u:system_r:initrc_t:s0 tclass=unix_stream_socket

Дальше вот такую: 

host=phost1 type=SYSCALL msg=audit(1305524443.588:458437): arch=40000003 syscall=11 success=yes exit=0 a0=9f67aa8 a1=9f67d78 a2=9f66f10 a3=40 items=0 ppid=4100 pid=5915 auid=500 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=1 comm="iptables" exe="/sbin/iptables" subj=user_u:system_r:iptables_t:s0 key=(null)

Если это взлом, поясните, плиз, как найти через что взломали.

раньше таких записей в логе не было? сервер упал сразу после этих записей или они просто были за какое-то время до падения? да, и как именно упал? завис, перегрузился, выпал в панику?

Komintern ★★★★★
()

Эмпирический вывод - кто-то попытался вызвать iptables, этот кто-то имел PID=4100 и имел UID=0 (xinetd? cron?)

Nastishka ★★★★★
()
Ответ на: комментарий от Komintern

Раньше такие записи были. После них в логе отсутствуют записи с промежутком от получаса до часа. В те разы сервер не падал. В этот раз произошла перезагрузка, по last видно сообщение о «crash» в 08:51.

UncleAndy ★★★
() автор топика
Ответ на: комментарий от Nastishka

Это возможно, т.к. стоит и работает fail2ban.

UncleAndy ★★★
() автор топика

Падение после аналогичных сообщений повторяються. :( Пожалуйста, помогите разобраться в чем дело? Я так понимаю что запускается iptables и ему почему-то запрещено какое-то действие. Насколько я понял, это действие - запись в сокет (SELinux is preventing iptables (iptables_t) «read write» to socket (initrc_t).). Но почему iptables что-то куда-то пытается писать? И безопасно-ли будет сделать правило для SELinux которое будет его разрешать?

UncleAndy ★★★
() автор топика
Ответ на: комментарий от UncleAndy

В общем, судя по всему, это какой-то глюк в selinux с нехваткой прав по умолчанию для iptables. Просто добавил права. Послежу будут-ли падения.

UncleAndy ★★★
() автор топика
Ответ на: комментарий от UncleAndy

Не подтвердилось. Перезагрузки продолжаются. По last видно что происходит crash, но никаких деталей найти не получается. Подскажите пожалуста, что можно использовать в этом случае что-бы диагностировать проблему? Ни в одном логе не вижу наводок на возможный источник проблемы. :(

UncleAndy ★★★
() автор топика
Ответ на: комментарий от madgnu

Да все смотрел. :( И messages и audit.log и dmesg. :( Может есть инструмент аналогичные last, через которые можно что-то увидеть?

UncleAndy ★★★
() автор топика
Ответ на: комментарий от amorpher

Да - типа того. Этот баг уже нашел и добавил права в selinux. В логе соответствующие строки исчезли, но перезагрузки не прекратились. :(

UncleAndy ★★★
() автор топика

Все больше склоняюсь к тому, что имеется какая-то проблема в ядре. Т.к. до этого все отлично работало и система не перенастраивалась. Сейчас откатился на старое ядро, буду следить.

UncleAndy ★★★
() автор топика
Ответ на: комментарий от UncleAndy

После отката на предыдущее ядро двое суток полет нормальный. В последних ядрах CentOS 5.5 и 5.6 какие-то проблемы.

UncleAndy ★★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin