/ 详情

【SP2】arm/x86安装最小化,开启selinux,登录时,audit 日志会刷在屏幕上

Done
Bug
Opened this issue  
2021-05-31 16:32

【环境信息】
系统:x86/arm
转测20.03-LTS-SP2第三轮版本
【问题复现步骤】
1.挂载OS镜像,软件选择处选择最小化
2.安装成功后启动。开启selinux

# cat /etc/selinux/config  | grep SELINUX
SELINUX=enforcing
# touch /.autorelabel
# reboot

3.重启成功后按提示输入账户 root,密码
【预期结果】
登录成功,没有多余打印
【实际结果】
输入图片说明
输入图片说明
注: 安装最小化+stand插件,开启selinux ,不会有此现象

Attachments
baizhilaoda 2021-05-31 16:31
baizhilaoda 2021-05-31 16:31
baizhilaoda 2021-05-31 16:31

Comments (8)

baizhilaoda created缺陷
baizhilaoda set start time to 2021-05-31
baizhilaoda set deadline to 2021-06-04
baizhilaoda set priority to Secondary
baizhilaoda set related repository to openEuler/kernel
展开全部操作日志

Hey baizhilaoda, Welcome to openEuler Community.
All of the projects in openEuler Community are maintained by @openeuler-ci-bot .
That means the developers can comment below every pull request or issue to trigger Bot Commands.
Please follow instructions at https://gitee.com/openeuler/community/blob/master/en/sig-infrastructure/command.md to find the details.

openeuler-ci-bot added
 
sig/Kernel
label
baizhilaoda changed description

printk 日志的级别

cat /proc/sys/kernel/printk
7	4	1	7

audit 的信息因此被刷出到串口了。

如果之前同样的测试方法没有这样的 audit 日志输出。
那建议检查 audit 的配置是否有更新,或者其他外围包配置有没有更新。

dmesg -c
[260217.270881] audit: type=1106 audit(1622532930.183:589): pid=5795 uid=0 auid=0 ses=13 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=login id=0 exe="/usr/sbin/sshd" hostname=? addr=? terminal=/dev/pts/0 res=success'
[260217.270916] audit: type=1113 audit(1622532930.183:590): pid=5795 uid=0 auid=0 ses=13 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=login id=0 exe="/usr/sbin/sshd" hostname=? addr=? terminal=/dev/pts/0 res=success'
[260217.271006] audit: type=2404 audit(1622532930.183:591): pid=5795 uid=0 auid=0 ses=13 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=destroy kind=session fp=? direction=both spid=5799 suid=0 rport=45812 laddr=172.168.128.15 lport=22  exe="/usr/sbin/sshd" hostname=? addr=172.168.131.216 terminal=? res=success'
[260217.271239] audit: type=2404 audit(1622532930.183:592): pid=5795 uid=0 auid=0 ses=13 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=destroy kind=server fp=SHA256:a8:cc:c1:7f:3e:9f:c4:b3:08:be:2f:c2:7a:b4:f3:ea:78:eb:f8:d1:31:aa:d8:46:7e:60:0e:1a:64:53:62:c9 direction=? spid=5799 suid=0  exe="/usr/sbin/sshd" hostname=? addr=? terminal=? res=success'
[260217.273825] audit: type=1106 audit(1622532930.187:593): pid=5795 uid=0 auid=0 ses=13 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=PAM:session_close grantors=pam_selinux,pam_loginuid,pam_selinux,pam_namespace,pam_keyinit,pam_keyinit,pam_limits,pam_systemd,pam_unix,pam_lastlog acct="root" exe="/usr/sbin/sshd" hostname=172.168.131.216 addr=172.168.131.216 terminal=ssh res=success'
[260217.273964] audit: type=1104 audit(1622532930.187:594): pid=5795 uid=0 auid=0 ses=13 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=PAM:setcred grantors=pam_faillock,pam_unix acct="root" exe="/usr/sbin/sshd" hostname=172.168.131.216 addr=172.168.131.216 terminal=ssh res=success'
[260217.274608] audit: type=2404 audit(1622532930.187:595): pid=5795 uid=0 auid=0 ses=13 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=destroy kind=server fp=SHA256:a8:cc:c1:7f:3e:9f:c4:b3:08:be:2f:c2:7a:b4:f3:ea:78:eb:f8:d1:31:aa:d8:46:7e:60:0e:1a:64:53:62:c9 direction=? spid=5795 suid=0  exe="/usr/sbin/sshd" hostname=? addr=? terminal=? res=success'
[260217.991230] audit: type=2404 audit(1622532930.903:596): pid=5856 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=destroy kind=server fp=SHA256:a8:cc:c1:7f:3e:9f:c4:b3:08:be:2f:c2:7a:b4:f3:ea:78:eb:f8:d1:31:aa:d8:46:7e:60:0e:1a:64:53:62:c9 direction=? spid=5856 suid=0  exe="/usr/sbin/sshd" hostname=? addr=? terminal=? res=success'
[260217.992015] audit: type=2407 audit(1622532930.903:597): pid=5855 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=start direction=from-server cipher=chacha20-poly1305@openssh.com ksize=512 mac=<implicit> pfs=curve25519-sha256 spid=5856 suid=74 rport=45814 laddr=172.168.128.15 lport=22  exe="/usr/sbin/sshd" hostname=? addr=172.168.131.216 terminal=? res=success'
[260217.992129] audit: type=2407 audit(1622532930.903:598): pid=5855 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=start direction=from-client cipher=chacha20-poly1305@openssh.com ksize=512 mac=<implicit> pfs=curve25519-sha256 spid=5856 suid=74 rport=45814 laddr=172.168.128.15 lport=22  exe="/usr/sbin/sshd" hostname=? addr=172.168.131.216 terminal=? res=success'

已经确认目前是:
在当前这种安装方式下,audit 服务被默认关掉了

audit 服务输出的日志,是需要 audit 服务 auditd 来接收日志处理的。如果 audit 服务关掉了,那么内核就只能将日志输出到内核的 buff 中。
而当前环境控制台日志级别为 7,因此显示到了控制台终端界面。

非问题,正常现象。

成坚 (CHENG Jian) changed issue state from 待办的 to 已完成
成坚 (CHENG Jian) changed issue state from 已完成 to 修复中
成坚 (CHENG Jian) changed issue state from 修复中 to 已完成
成坚 (CHENG Jian) changed issue state from 已完成 to 修复中
  1. 之前 audit 对性能有 1%~2% 的影响,因此评估讲 audit 关掉。

  2. audit 关掉之后,导致了该 issue 描述的问题,在 printk 日志级别为 7 的情况下,日志输出到了串口中。

  3. 2021/06/15 进行了重新评估修改方案。一致认同修改 printk 打印级别的方案。

成坚 (CHENG Jian) changed issue state from 修复中 to 已完成
成坚 (CHENG Jian) changed issue state from 已完成 to 修复中

确认其他厂商信息

1.Fedora 如何修改内核日志级别参数,能否找到厂商统一的修改方式
fedora在启动参数中设置了quiet,在内核代码中已设置CONFIG_CONSOLE_LOGLEVEL_QUIET=3

所以fedora的printk日志级别为3 4 1 7

各厂商修改的方式均不统一。
注:openEuler-LTS-SP2的内核代码中,CONFIG_CONSOLE_LOGLEVEL_QUIET为4

2.printk级别降低为4后,audit功能再打开audit日志记录功能正常,demsg也能同时输出audit日志。

3.在openEuler-LTS-SP1环境中,系统启动后audit服务是启动状态,audit版本从SP1升级到SP2, audit服务一直都是启动状态。

  1. 在openEuler-LTS-SP2环境中,系统启动后audit服务是关闭状态,audit版本从SP2回退到SP1, audit服务一直都是关闭状态。

openEuler-LTS-SP2上的处理方式和内部的处理方式相似,

在/etc/sysctl目录下新建conf文件,文件内容:kernel.printk=4 4 1 7

https://gitee.com/src-openeuler/openEuler-release/pulls/57/files

成坚 (CHENG Jian) changed issue state from 修复中 to 已完成
baizhilaoda changed issue state from 已完成 to 已验收
成坚 (CHENG Jian) changed title

相关 PR 合入

【配置】在/etc/sysctl目录下新建conf文件,文件内容:kernel.printk=4 4 1 7
https://gitee.com/src-openeuler/openEuler-release/pulls/57

【服务】SP2分支业务侧需求,需要默认关闭audit服务,但是security-tool这个质量加固包在系统安装后第一次重启时会把audit服务启动,现需要同步修改,在配置中去掉auditd.service服务
https://gitee.com/src-openeuler/security-tool/pulls/40

【资料】基础配置里增加修改日志级别的操作描述
https://gitee.com/openeuler/docs/pulls/958

成坚 (CHENG Jian) changed issue state from 已验收 to 已完成

Sign in to comment

状态
Assignees
Projects
Milestones
Pull Requests
关联的 Pull Requests 被合并后可能会关闭此 issue
Branches
Planed to start   -   Planed to end
-
Top level
Priority
Duration (hours)
确定
参与者(3)
5329419 openeuler ci bot 1578984659