На моем сервере проблема с антивирусом Clam. Я получаю это уведомление от OSSEC один раз в день. Я не уверен, где искать и в чем на самом деле проблема. Может ли кто-нибудь указать в правильном направлении?
Received From:->/var/log/syslog
Rule: 1002 fired (level 2) -> "Unknown problem somewhere in the system."
Portion of the log(s):
Apr 27 16:00:51 kernel: [237797.696615] audit: type=1400
audit(1493305251.498:23): apparmor="DENIED" operation="open"
profile="/usr/bin/freshclam" name="/proc/7009/status" pid=7009 comm="freshclam" requested_mask="r"
denied_mask="r" fsuid=115 ouid=0
Это не похоже на угрозу, о которой вы должны беспокоиться, несмотря на сообщения HIDS. freshclam
выполняет некоторые проверки в / proc /
(и / proc / filesystems
) после загрузки новых баз данных определений вирусов.
Ваш AppArmor запретил freshclam
доступ к / proc / 7009
. Однако, AFAIK, который не должен влиять на обновления определений вирусов. pid = 7009
соответствует, что доказывает, что он обращается к своей собственной информации о процессе , что не является ненормальным. Тот факт, что это происходит ежедневно, указывает на то же направление.
Вы можете найти профиль AppArmor, влияющий на freshclam
, из /etc/apparmor.d/usr.bin.freshclam
(или, возможно, из включенного /etc/apparmor.d/local/usr.bin.freshclam
). Чтобы разрешить эту нормальную работу, должны быть следующие политики:
@{PROC}/filesystems r,
owner @{PROC}/[0-9]*/status r,
Вы не упомянули свой дистрибутив; обычно это по умолчанию в профиле. Если это не так, вы можете добавить его в профиль локальный и убедиться, что он был включен
d в основной профиль (из дистрибутива). В случае изменения, поскольку AppArmor является расширением ядра (LSM), профили обычно загружаются в ядро при (следующей) загрузке.
OSSEC HIDS отслеживает ваши журналы и сообщает обо всем, что отклонено AppArmor, как о возможной угрозе, что вовсе не является плохим предположением. Однако не всегда стоит принимать во внимание разумность конфигурации AppArmor или нет. В данном конкретном случае кажется, что AppArmor что-то без необходимости отрицает, но не следует обобщать, что эти уведомления всегда являются ложными срабатываниями.
Уровень классификации правил упоминается после правила fired помогает оценить релевантность:
00 - Игнорируется - никаких действий не предпринимается. Используется во избежание ложных срабатываний. Эти правила просматриваются раньше всех остальных. Они включают события без значение безопасности.
02 - Уведомление о низком приоритете системы - Системное уведомление или статус Сообщения. Они не имеют отношения к безопасности.
Вы можете настроить параметры предупреждений OSSEC и / или Подробные параметры электронной почты , чтобы избежать получения электронной почты на уровнях 00-03 (не связанные с безопасностью) или 00- 06 (низкая релевантность) правила. В /etc/ossec.conf
:
параметр предупреждения
подпараметр email_alert_level
устанавливает минимальный уровень предупреждений для отправки уведомлений по электронной почте . по умолчанию 7, как и в моем предложении.
option email_alerts
sub-option level
устанавливает минимальный уровень предупреждений для пересылки электронных писем. -mails .