Вопросы Теги

Clam Неизвестно Предупреждение OSSEC

На моем сервере проблема с антивирусом Clam. Я получаю это уведомление от OSSEC один раз в день. Я не уверен, где искать и в чем на самом деле проблема. Может ли кто-нибудь указать в правильном направлении? 

 Received From:->/var/log/syslog
    Rule: 1002 fired (level 2) -> "Unknown problem somewhere in the system."
    Portion of the log(s):

    Apr 27 16:00:51 kernel: [237797.696615] audit: type=1400
     audit(1493305251.498:23): apparmor="DENIED" operation="open"
     profile="/usr/bin/freshclam" name="/proc/7009/status" pid=7009 comm="freshclam" requested_mask="r"
     denied_mask="r" fsuid=115 ouid=0
0
задан 27 April 2017 в 18:51
1 ответ

Это не похоже на угрозу, о которой вы должны беспокоиться, несмотря на сообщения HIDS. freshclam выполняет некоторые проверки в / proc / / proc / filesystems ) после загрузки новых баз данных определений вирусов.

Ваш AppArmor запретил freshclam доступ к / proc / 7009 . Однако, AFAIK, который не должен влиять на обновления определений вирусов. pid = 7009 соответствует, что доказывает, что он обращается к своей собственной информации о процессе , что не является ненормальным. Тот факт, что это происходит ежедневно, указывает на то же направление.

Вы можете найти профиль AppArmor, влияющий на freshclam , из /etc/apparmor.d/usr.bin.freshclam (или, возможно, из включенного /etc/apparmor.d/local/usr.bin.freshclam ). Чтобы разрешить эту нормальную работу, должны быть следующие политики: 

@{PROC}/filesystems r,
owner @{PROC}/[0-9]*/status r,

Вы не упомянули свой дистрибутив; обычно это по умолчанию в профиле. Если это не так, вы можете добавить его в профиль локальный и убедиться, что он был включен d в основной профиль (из дистрибутива). В случае изменения, поскольку AppArmor является расширением ядра (LSM), профили обычно загружаются в ядро ​​при (следующей) загрузке.

OSSEC HIDS отслеживает ваши журналы и сообщает обо всем, что отклонено AppArmor, как о возможной угрозе, что вовсе не является плохим предположением. Однако не всегда стоит принимать во внимание разумность конфигурации AppArmor или нет. В данном конкретном случае кажется, что AppArmor что-то без необходимости отрицает, но не следует обобщать, что эти уведомления всегда являются ложными срабатываниями.

Уровень классификации правил упоминается после правила fired помогает оценить релевантность:

00 - Игнорируется - никаких действий не предпринимается. Используется во избежание ложных срабатываний. Эти правила просматриваются раньше всех остальных. Они включают события без значение безопасности.

02 - Уведомление о низком приоритете системы - Системное уведомление или статус Сообщения. Они не имеют отношения к безопасности.

Вы можете настроить параметры предупреждений OSSEC и / или Подробные параметры электронной почты , чтобы избежать получения электронной почты на уровнях 00-03 (не связанные с безопасностью) или 00- 06 (низкая релевантность) правила. В /etc/ossec.conf :

  • параметр предупреждения подпараметр email_alert_level устанавливает минимальный уровень предупреждений для отправки уведомлений по электронной почте . по умолчанию 7, как и в моем предложении.

  • option email_alerts sub-option level устанавливает минимальный уровень предупреждений для пересылки электронных писем. -mails .

0
ответ дан 5 December 2019 в 08:17

Теги

Похожие вопросы