|
|
| Zeile 2: |
Zeile 2: |
|
| |
|
| == Beschreibung == | | == Beschreibung == |
| == kauditd_printk_skb ==
| |
| ; Beispiel
| |
| dmesg-Ausgabe
| |
| <syntaxhighlight lang="bash" highlight="1" line>
| |
| kernel: kauditd_printk_skb: 5 callbacks suppressed
| |
| </syntaxhighlight>
| |
|
| |
| ; Was ist "kauditd_printk_skb"?
| |
| * Was tut es im Wesentlichen?
| |
| * Wie kann ich die unterdrückten Rückrufe aufzählen?
| |
| * Und vielleicht die Gründe, die dazugehören?
| |
|
| |
| ; Log-Events drosseln
| |
| Linux verwendet diesen Mechanismus, um das Spammen von Log-Events zu drosseln und so die Wahrscheinlichkeit eines Denial-of-Service-Angriffs zu verringern
| |
|
| |
| ; Einstellungen
| |
| Sie können diese Funktion einstellen, indem Sie die beiden Einstellungen <tt>net.core.message_burst</tt> und <tt>net.core.message_cost</tt> ändern
| |
|
| |
| Diese Parameter werden verwendet, um die Warnmeldungen zu begrenzen, die vom Netzwerkcode in das Kernelprotokoll geschrieben werden
| |
| * Sie erzwingen ein Ratenlimit, um einen Denial-of-Service-Angriff unmöglich zu machen
| |
| * Ein höherer message_cost-Faktor führt dazu, dass weniger Nachrichten geschrieben werden
| |
| * Message_burst steuert, wann Nachrichten gelöscht werden
| |
| * Die Standardeinstellungen begrenzen die Anzahl der Warnmeldungen auf eine alle fünf Sekunden
| |
|
| |
| ; Werte anzeigen
| |
| <syntaxhighlight lang="bash" highlight="1" line>
| |
| sudo sysctl -a | grep net.core.message_
| |
| net.core.message_burst = 10
| |
| net.core.message_cost = 5
| |
| </syntaxhighlight>
| |
|
| |
| ; Werte ändern
| |
| <syntaxhighlight lang="bash" highlight="1" line>
| |
| sysctl -w net.core.message_cost=0
| |
| </syntaxhighlight>
| |
|
| |
| ; Achtung
| |
| : Die Deaktivierung dieses Mechanismus in Produktionsumgebungen ist nicht empfohlen!
| |
|
| |
| ; Weitere Informationen
| |
| * [https://www.kernel.org/doc/Documentation/sysctl/net.txt https://www.kernel.org/doc/Documentation/sysctl/net.txt]
| |
|
| |
| ; Hinweise
| |
| Sind Sie sicher, dass die Kaudit-Meldungen aus dem Netzwerkcode stammen (und <tt>net.core.message_cost</tt> verwenden) und nicht allgemein <tt>kernel.printk_ratelimit_burst</tt>?
| |
|
| |
| Ich habe die spammigen Logmeldungen reduziert, indem ich <tt>kernel.printk_ratelimit</tt> und <tt>kernel.printk_ratelimit_burst</tt> auf höhere Werte erhöht habe
| |
| * Das Ändern von <tt>net.core.message_cost</tt> hat das Problem nicht gelöst
| |
|
| |
| == Installation == | | == Installation == |
| <syntaxhighlight lang="bash" highlight="1" line> | | <syntaxhighlight lang="bash" highlight="1" line> |