Kauditd: Unterschied zwischen den Versionen

Version vom 26. April 2025, 11:01 Uhr

Kauditd - Beschreibung

Beschreibung

Rolle von "kauditd_printk_skb" im Linux-Kernel

Beispiel

dmesg-Ausgabe enthält

kernel: kauditd_printk_skb: 5 callbacks suppressed

Kann mich jemand über dieses "kauditd_printk_skb" aufklären?

Was tut es im Wesentlichen
Wie kann ich die unterdrückten Rückrufe aufzählen?
Und vielleicht die Gründe, die dazugehören?

Log-Events drosseln

Linux verwendet diesen Mechanismus, um das Spammen von Log-Events zu drosseln und so die Wahrscheinlichkeit eines Denial-of-Service-Angriffs zu verringern.

Einstellungen

Sie können diese Funktion einstellen, indem Sie die beiden Einstellungen net.core.message_burst und net.core.message_cost ändern.

Diese Parameter werden verwendet, um die Warnmeldungen zu begrenzen, die vom Netzwerkcode in das Kernelprotokoll geschrieben werden. Sie erzwingen ein Ratenlimit, um einen Denial-of-Service-Angriff unmöglich zu machen. Ein höherer message_cost-Faktor führt dazu, dass weniger Nachrichten geschrieben werden. Message_burst steuert, wann Nachrichten gelöscht werden. Die Standardeinstellungen begrenzen die Anzahl der Warnmeldungen auf eine alle fünf Sekunden.

Werte anzeigen

sudo sysctl -a | grep net.core.message_

Werte ändern

sysctl -w net.core.message_cost=0

Achtung: Die Deaktivierung dieses Mechanismus in Produktionsumgebungen ist nicht empfohlen!

Weitere Informationen

https://www.kernel.org/doc/Documentation/sysctl/net.txt

Sind Sie sicher, dass die Kaudit-Meldungen aus dem Netzwerkcode stammen (und net.core.message_cost verwenden) und nicht allgemein kernel.printk_ratelimit_burst?

Ich habe die spammigen Logmeldungen reduziert, indem ich kernel.printk_ratelimit und kernel.printk_ratelimit_burst auf höhere Werte erhöht habe. Das Ändern von net.core.message_cost hat das Problem nicht gelöst.

Installation

Aufruf

Optionen

Unix	GNU	Parameter	Beschreibung

Parameter

Umgebungsvariablen

Exit-Status

Wert	Beschreibung
0	Erfolg
>0	Fehler

Anwendung

Problembehebung

Konfiguration

Dateien

Datei	Beschreibung

Anhang

Siehe auch

Kauditd/kauditd printk skb

Dokumentation

Man-Page

prep(1)

Info-Pages

Links

Projekt

Weblinks

@@ Zeile 3: / Zeile 3: @@
 == Beschreibung ==
 == Rolle von "kauditd_printk_skb" im Linux-Kernel ==
+; Beispiel
 dmesg-Ausgabe enthält
   kernel: kauditd_printk_skb: 5 callbacks suppressed
@@ Zeile 9: / Zeile 9: @@
 Kann mich jemand über dieses "kauditd_printk_skb" aufklären?
 * Was tut es im Wesentlichen
-* Wie kann ich alle Rückrufe aufzählen, die es unterdrückt hat?
+* Wie kann ich die unterdrückten Rückrufe aufzählen?
 * Und vielleicht die Gründe, die dazugehören?
@@ Zeile 20: / Zeile 20: @@
 Diese Parameter werden verwendet, um die Warnmeldungen zu begrenzen, die vom Netzwerkcode in das Kernelprotokoll geschrieben werden. Sie erzwingen ein Ratenlimit, um einen Denial-of-Service-Angriff unmöglich zu machen. Ein höherer message_cost-Faktor führt dazu, dass weniger Nachrichten geschrieben werden. Message_burst steuert, wann Nachrichten gelöscht werden. Die Standardeinstellungen begrenzen die Anzahl der Warnmeldungen auf eine alle fünf Sekunden.
-Um ihre aktuellen Werte zu überprüfen, verwenden Sie:
+; Werte anzeigen
   sudo sysctl -a | grep net.core.message_
-Um sie zu ändern:
+; Werte ändern
   sysctl -w net.core.message_cost=0
-Bitte beachten Sie, dass die Deaktivierung dieses Mechanismus in Produktionsumgebungen nicht empfohlen wird.
+; Achtung
+: Die Deaktivierung dieses Mechanismus in Produktionsumgebungen ist nicht empfohlen!
-Weitere Informationen: [https://www.kernel.org/doc/Documentation/sysctl/net.txt https://www.kernel.org/doc/Documentation/sysctl/net.txt]
+; Weitere Informationen
+* [https://www.kernel.org/doc/Documentation/sysctl/net.txt https://www.kernel.org/doc/Documentation/sysctl/net.txt]
 Sind Sie sicher, dass die Kaudit-Meldungen aus dem Netzwerkcode stammen (und <tt>net.core.message_cost</tt> verwenden) und nicht allgemein <tt>kernel.printk_ratelimit_burst</tt>?