Zum Inhalt springen

Kauditd

Aus Foxwiki

Die Rolle von "kauditd_printk_skb" im Linux-Kernel

dmesg-Ausgabe enthält

kauditd_printk_skb: 10 Rückrufe unterdrückt

Kann mich jemand über dieses "kauditd_printk_skb" aufklären?

  • Was tut es im Wesentlichen
  • Wie kann ich alle 10 Rückrufe aufzählen, die es unterdrückt hat?
  • Und vielleicht die Gründe, die dazugehören?

Linux verwendet diesen Mechanismus, um das Spammen von Log-Events zu drosseln und so die Wahrscheinlichkeit eines Denial-of-Service-Angriffs zu verringern.

Sie können diese Funktion einstellen, indem Sie die beiden Einstellungen net.core.message_burst und net.core.message_cost ändern.

Diese Parameter werden verwendet, um die Warnmeldungen zu begrenzen, die vom Netzwerkcode in das Kernelprotokoll geschrieben werden. Sie erzwingen ein Ratenlimit, um einen Denial-of-Service-Angriff unmöglich zu machen. Ein höherer message_cost-Faktor führt dazu, dass weniger Nachrichten geschrieben werden. Message_burst steuert, wann Nachrichten gelöscht werden. Die Standardeinstellungen begrenzen die Anzahl der Warnmeldungen auf eine alle fünf Sekunden.

Um ihre aktuellen Werte zu überprüfen, verwenden Sie:

sudo sysctl -a | grep net.core.message_

Um sie zu ändern:

sysctl -w net.core.message_cost=0

Bitte beachten Sie, dass die Deaktivierung dieses Mechanismus in Produktionsumgebungen nicht empfohlen wird.

Weitere Informationen: https://www.kernel.org/doc/Documentation/sysctl/net.txt

Sind Sie sicher, dass die Kaudit-Meldungen aus dem Netzwerkcode stammen (und net.core.message_cost verwenden) und nicht allgemein kernel.printk_ratelimit_burst?

Ich habe die spammigen Logmeldungen reduziert, indem ich kernel.printk_ratelimit und kernel.printk_ratelimit_burst auf höhere Werte erhöht habe. Das Ändern von net.core.message_cost hat das Problem nicht gelöst.