【标题描述】能够简要描述问题:说明什么场景下,做了什么操作,出现什么问题(尽量使用正向表达方式)
【环境信息】
硬件信息:
1) 裸机场景提供出问题的硬件信息;
2) 虚机场景提供虚机XML文件或者配置信息
[root@hulk-34 bin]# lscpu
Architecture: x86_64
CPU op-mode(s): 32-bit, 64-bit
Byte Order: Little Endian
Address sizes: 46 bits physical, 48 bits virtual
CPU(s): 40
On-line CPU(s) list: 0-39
Thread(s) per core: 2
Core(s) per socket: 10
Socket(s): 2
NUMA node(s): 2
Vendor ID: GenuineIntel
CPU family: 6
Model: 85
Model name: Intel(R) Xeon(R) Silver 4114 CPU @ 2.20GHz
Stepping: 4
软件信息:
1) OS版本及分支
cat /etc/openEuler-release
openEuler release 20.03 (LTS-SP1)
2) 内核信息
3) 发现问题的组件版本信息
如果有特殊组网,请提供网络拓扑图
【问题复现步骤】
具体操作步骤
cd /home/install/kernel_test_bin/bin/security_audit_t/testcases/bin
./auditctl-a-001.sh
出现概率(是否必现,概率性错误)
【预期结果】
pass
【实际结果】
grep -w 'comm="cat"'
'[' 1 -eq 0 ']'
RET=1
for i in seq 60
echo 58
58
cat /etc/shadow
sleep 2
cat /var/log/audit/audit.log
grep -w 'comm="cat"'
'[' 1 -eq 0 ']'
RET=1
for i in seq 60
echo 59
59
cat /etc/shadow
sleep 2
cat /var/log/audit/audit.log
grep -w 'comm="cat"'
'[' 1 -eq 0 ']'
RET=1
for i in seq 60
echo 60
60
cat /etc/shadow
sleep 2
cat /var/log/audit/audit.log
grep -w 'comm="cat"'
'[' 1 -eq 0 ']'
RET=1
return 1
do_clean
echo 'Doing clean ...'
Doing clean ...
'[' -f /etc/audit/auditd.conf.bk ']'
'[' -f .bk ']'
auditctl -D
No rules
echo ''
echo '************** CURRENT LOG *************'
************** CURRENT LOG *************
echo ''
echo ''
cat /var/log/audit/audit.log
echo ''
echo ''
echo '************** END CURRENT LOG ****************'
************** END CURRENT LOG ****************
echo ''
exit 1
结果fail
【附件信息】
比如系统message日志/组件日志、dump信息、图片等
Hey wang_keke, Welcome to openEuler Community.
All of the projects in openEuler Community are maintained by @openeuler-ci-bot.
That means the developers can comment below every pull request or issue to trigger Bot Commands.
Please follow instructions at https://gitee.com/openeuler/community/blob/master/en/sig-infrastructure/command.md to find the details.
此处可能存在不合适展示的内容,页面不予展示。您可通过相关编辑功能自查并修改。
如您确认内容无涉及 不当用语 / 纯广告导流 / 暴力 / 低俗色情 / 侵权 / 盗版 / 虚假 / 无价值内容或违法国家有关法律法规的内容,可点击提交进行申诉,我们将尽快为您处理。
问题现象:auditd添加如下规则:-a always,exit -F arch=b64 -S open -F inode=18089233 -F key=test001
18089233 对应/etc/shadow文件的inode号,通过cat /etc/shadow没有生成响应的审计日志
定位结论:通过strace跟踪cat命令,发现ci环境为x86_64架构,cat命令所用的系统调用为openat而不是open,所以auditd无法监测到对open的调用任务,用例与环境适配有问题
修复策略:修改auditd的测试规则,将该架构下监听的系统调用改成openat,经过验证功能ok
登录 后才可以发表评论