Zum Inhalt springen

Kauditd: Unterschied zwischen den Versionen

Aus Foxwiki
Versionsgeschichte interaktiv durchsuchen
← Zum vorherigen Versionsunterschied
VisuellWikitext
K Textersetzung - „<div style="column-count:3">“ durch „<div style="column-count:2">“
 
(15 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 2: Zeile 2:


== Beschreibung ==
== Beschreibung ==
== Rolle von "kauditd_printk_skb" im Linux-Kernel ==
; Beispiel
dmesg-Ausgabe enthält
kernel: kauditd_printk_skb: 5 callbacks suppressed
Kann mich jemand über dieses "kauditd_printk_skb" aufklären?
* Was tut es im Wesentlichen
* Wie kann ich die unterdrückten Rückrufe aufzählen?
* Und vielleicht die Gründe, die dazugehören?
; Log-Events drosseln
Linux verwendet diesen Mechanismus, um das Spammen von Log-Events zu drosseln und so die Wahrscheinlichkeit eines Denial-of-Service-Angriffs zu verringern.
; Einstellungen
Sie können diese Funktion einstellen, indem Sie die beiden Einstellungen <tt>net.core.message_burst</tt> und <tt>net.core.message_cost</tt> ändern.
Diese Parameter werden verwendet, um die Warnmeldungen zu begrenzen, die vom Netzwerkcode in das Kernelprotokoll geschrieben werden. Sie erzwingen ein Ratenlimit, um einen Denial-of-Service-Angriff unmöglich zu machen. Ein höherer message_cost-Faktor führt dazu, dass weniger Nachrichten geschrieben werden. Message_burst steuert, wann Nachrichten gelöscht werden. Die Standardeinstellungen begrenzen die Anzahl der Warnmeldungen auf eine alle fünf Sekunden.
; Werte anzeigen
sudo sysctl -a | grep net.core.message_
; Werte ändern
sysctl -w net.core.message_cost=0
; Achtung
: Die Deaktivierung dieses Mechanismus in Produktionsumgebungen ist nicht empfohlen!
; Weitere Informationen
* [https://www.kernel.org/doc/Documentation/sysctl/net.txt https://www.kernel.org/doc/Documentation/sysctl/net.txt]
Sind Sie sicher, dass die Kaudit-Meldungen aus dem Netzwerkcode stammen (und <tt>net.core.message_cost</tt> verwenden) und nicht allgemein <tt>kernel.printk_ratelimit_burst</tt>?
Ich habe die spammigen Logmeldungen reduziert, indem ich <tt>kernel.printk_ratelimit</tt> und <tt>kernel.printk_ratelimit_burst</tt> auf höhere Werte erhöht habe. Das Ändern von <tt>net.core.message_cost</tt> hat das Problem nicht gelöst.
== Installation ==
== Installation ==
<syntaxhighlight lang="bash" highlight="1" line>
<syntaxhighlight lang="bash" highlight="1" line copy>
</syntaxhighlight>
</syntaxhighlight>


== Aufruf ==
== Aufruf ==
<syntaxhighlight lang="bash" highlight="1" line>
<syntaxhighlight lang="bash" highlight="1" line copy>
</syntaxhighlight>
</syntaxhighlight>


Zeile 49: Zeile 15:
! Unix !! GNU !! Parameter !! Beschreibung
! Unix !! GNU !! Parameter !! Beschreibung
|-
|-
| || || ||  
| || || ||
|-
|-
|}
|}
Zeile 64: Zeile 30:
| 0 || Erfolg
| 0 || Erfolg
|-
|-
| >0 || Fehler
| >0 || Fehler
|}
|}


== Anwendung ==
== Anwendung ==
<syntaxhighlight lang="bash" highlight="1" line>
<syntaxhighlight lang="bash" highlight="1" line copy>
</syntaxhighlight>
</syntaxhighlight>


Zeile 80: Zeile 46:
! Datei !! Beschreibung
! Datei !! Beschreibung
|-
|-
| ||  
| ||
|-
|-
| ||  
| ||
|}
|}
<noinclude>
<noinclude>
Zeile 89: Zeile 55:


=== Siehe auch ===
=== Siehe auch ===
<div style="column-count:3">
<div style="column-count:2">
<categorytree hideroot=on mode="pages">{{BASEPAGENAME}}</categorytree>
<categorytree hideroot=on mode="pages">{{BASEPAGENAME}}</categorytree>
</div>
</div>
----
----
{{Special:PrefixIndex/{{BASEPAGENAME}}/}}
{{Special:PrefixIndex/{{BASEPAGENAME}}/}}
=== Dokumentation ===
=== Dokumentation ===


; Man-Page  
; Man-Page
<!--
# [https://manpages.debian.org/stable/procps/pgrep.1.de.html prep(1)]
# [https://manpages.debian.org/stable/procps/pgrep.1.de.html prep(1)]
 
-->
; Info-Pages  
; Info-Pages


=== Links ===
=== Links ===
Zeile 105: Zeile 73:


==== Weblinks ====
==== Weblinks ====
# https://medium.com/@boutnaru/the-linux-process-journey-kauditd-25718f6c502d
# https://docs.starlingx.io/security/kubernetes/auditd-support-339a51d8ce16.html
# https://documentation.suse.com/de-de/sles/12-SP5/html/SLES-all/cha-audit-comp.html
# https://manpages.debian.org/testing/auditd/auditd.8.en.html
# https://packages.debian.org/de/sid/auditd
# https://medium.com/@boristheblade1/configuring-auditd-in-linux-6d1f6e100079
# https://sematext.com/glossary/auditd/
# https://medium.com/@charles.vissol/auditd-essentials-e071ece1da11
# https://manpages.debian.org/testing/auditd/auditd.conf.5.en.html
# https://www.server-world.info/en/note?os=Debian_12&p=audit&f=4


{{DEFAULTSORT:kauditd}}
{{DISPLAYTITLE:kauditd}}


{{DEFAULTSORT:new}}
[[Kategorie:kauditd]]
{{DISPLAYTITLE:new}}
 
[[Kategorie:new]]


</noinclude>
</noinclude>
[[Kategorie:Linux/Logging]]

Aktuelle Version vom 28. Juni 2025, 11:13 Uhr

Kauditd - Beschreibung

Beschreibung

Installation

Aufruf

Optionen

Unix GNU Parameter Beschreibung

Parameter

Umgebungsvariablen

Exit-Status

Wert Beschreibung
0 Erfolg
>0 Fehler

Anwendung

Problembehebung

Konfiguration

Dateien

Datei Beschreibung


Anhang

Siehe auch

Dokumentation

Man-Page
Info-Pages

Links

Projekt

Weblinks

  1. https://medium.com/@boutnaru/the-linux-process-journey-kauditd-25718f6c502d
  2. https://docs.starlingx.io/security/kubernetes/auditd-support-339a51d8ce16.html
  3. https://documentation.suse.com/de-de/sles/12-SP5/html/SLES-all/cha-audit-comp.html
  4. https://manpages.debian.org/testing/auditd/auditd.8.en.html
  5. https://packages.debian.org/de/sid/auditd
  6. https://medium.com/@boristheblade1/configuring-auditd-in-linux-6d1f6e100079
  7. https://sematext.com/glossary/auditd/
  8. https://medium.com/@charles.vissol/auditd-essentials-e071ece1da11
  9. https://manpages.debian.org/testing/auditd/auditd.conf.5.en.html
  10. https://www.server-world.info/en/note?os=Debian_12&p=audit&f=4


Abgerufen von „https://wiki.foxtom.de/index.php?title=Kauditd&oldid=147850