Zum Inhalt springen

Kauditd

Aus Foxwiki
Die 5 zuletzt angesehenen Seiten:  ssh » Projektziele » IPv6/Link » OpenVPN/Betriebsmodi » kauditd
Version vom 26. April 2025, 10:42 Uhr von Dirkwagner (Diskussion | Beiträge) (Die Seite wurde neu angelegt: „== Die Rolle von "kauditd_printk_skb" im Linux-Kernel == dmesg-Ausgabe enthält kauditd_printk_skb: 10 Rückrufe unterdrückt Kann mich jemand über dieses "kauditd_printk_skb" aufklären? Was tut es im Wesentlichen und wie kann ich alle 10 Rückrufe aufzählen, die es unterdrückt hat? Und vielleicht die Gründe, die dazugehören? Linux verwendet diesen Mechanismus, um das Spammen von Log-Events zu drosseln und so die Wahrscheinlichkeit eines Denia…“)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)

Die Rolle von "kauditd_printk_skb" im Linux-Kernel

dmesg-Ausgabe enthält 

kauditd_printk_skb: 10 Rückrufe unterdrückt

Kann mich jemand über dieses "kauditd_printk_skb" aufklären?

Was tut es im Wesentlichen und wie kann ich alle 10 Rückrufe aufzählen, die es unterdrückt hat? Und vielleicht die Gründe, die dazugehören?

Linux verwendet diesen Mechanismus, um das Spammen von Log-Events zu drosseln und so die Wahrscheinlichkeit eines Denial-of-Service-Angriffs zu verringern.

Sie können diese Funktion einstellen, indem Sie die beiden Einstellungen net.core.message_burst und net.core.message_cost ändern.

Diese Parameter werden verwendet, um die Warnmeldungen zu begrenzen, die vom Netzwerkcode in das Kernelprotokoll geschrieben werden. Sie erzwingen ein Ratenlimit, um einen Denial-of-Service-Angriff unmöglich zu machen. Ein höherer message_cost-Faktor führt dazu, dass weniger Nachrichten geschrieben werden. Message_burst steuert, wann Nachrichten gelöscht werden. Die Standardeinstellungen begrenzen die Anzahl der Warnmeldungen auf eine alle fünf Sekunden.

Um ihre aktuellen Werte zu überprüfen, verwenden Sie: 

sudo sysctl -a | grep net.core.message_

Um sie zu ändern: 

sysctl -w net.core.message_cost=0

Bitte beachten Sie, dass die Deaktivierung dieses Mechanismus in Produktionsumgebungen nicht empfohlen wird.

Weitere Informationen: https://www.kernel.org/doc/Documentation/sysctl/net.txt

Sind Sie sicher, dass die Kaudit-Meldungen aus dem Netzwerkcode stammen (und net.core.message_cost verwenden) und nicht allgemein kernel.printk_ratelimit_burst?

Ich habe die spammigen Logmeldungen reduziert, indem ich kernel.printk_ratelimit und kernel.printk_ratelimit_burst auf höhere Werte erhöht habe. Das Ändern von net.core.message_cost hat das Problem nicht gelöst.

Abgerufen von „https://wiki.foxtom.de/index.php?title=Kauditd&oldid=138308