使用Audit审计服务排查linux终端异常关机问题

原创 已于 2022-06-23 15:35:23 修改 · 3.4k 阅读 · 8
标签
#linux #运维 #服务器
于 2022-03-06 18:42:40 首次发布
本文档详述了一起关于Linux终端在教室环境中出现不符合预期的自动关机问题。通过分析syslog日志和部署audit审计服务,定位到问题可能是人为操作,包括电源键误触和虚拟机的不当关闭。解决方案包括禁用电源键,调整用户行为,以及通过审计服务优化系统监控。此外,提供了audit服务的部署脚本和相关配置信息。

目录

【基本信息】

【问题描述】

【定位过程】

1,整理规律如下

2,部署audit审计服务定位问题

3,定位后期

【问题原因】

【问题解决】

【问题小结】

附录

1,audit审计服务部署脚本及其安装包

2,配置软绘,软解,禁用power键

3,部署audit服务

4,audit审计日志与规则

我将本案例写成了文档案例,可参见阿里云盘链接下载阅读,凡是提及附件的地方本文均未粘贴,可下载文档来阅读:

「spaceos终端不符合预期关机问题」https://www.aliyundrive.com/s/hetkctd2bbD

点击链接保存,或者复制本段内容,打开「阿里云盘」APP ,无需下载极速在线查看,视频原画倍速播放。

【基本信息】

  1. 瘦终端:C101LS,装载x64 SpaceOS(linux终端)系统(用于连接云桌面)
  2. 版本:Workspace E1009(云桌面客户端版本)
  3. 现场使用H3C Workspace的方式部署教室云桌面,自动登录云桌面,终端锁在教室讲台里,平时仅关闭显示器,终端独立供电,并且不断电。
  4. 客户基本预期就是终端不关机,也不断开云桌面,仅关闭其显示器,第二天上课时仅仅是给显示器上电,并且从授权策略中将关机和重启功能都是禁用了的。

【问题描述】

如上述基本信息,在部署了16间教室后,经过一周表现正常,但是第二周来每天陆续发现linux终端出现9次不符合预期的关机,确定非虚拟机关机。

【定位过程】

实际上,这个问题在出差到达现场之前,就已经定位到是正常的软关机,见下syslog的日志段,依次正确关闭系统服务,并且syslog中并无硬件类的报错记录,包括SpaceAgent和workspace客户端没有执行关机记录。

Jul 11 16:43:50 localhost systemd[1]: Stopped target Timers.

Jul 11 16:43:50 localhost systemd[1]: Closed Load/Save RF Kill Switch Status /dev/rfkill Watch.

Jul 11 16:43:50 localhost systemd[1]: Stopped target Host and Network Name Lookups.

Jul 11 16:43:50 localhost systemd[1]: Stopped Discard unused blocks once a week.

Jul 11 16:43:50 localhost systemd[1]: Stopping Authorization Manager...

Jul 11 16:43:50 localhost systemd[1]: Stopped target Graphical Interface.

Jul 11 16:43:50 localhost systemd[1]: Stopped Daily Cleanup of Temporary Directories.

Jul 11 16:43:50 localhost systemd[1]: Stopped Daily apt upgrade and clean activities.

Jul 11 16:43:50 localhost systemd[1]: Stopped Daily apt download activities.

Jul 11 16:43:50 localhost systemd[1]: Stopped Message of the Day.

Jul 11 16:43:50 localhost systemd[1]: Stopping User Manager for UID 1010...

Jul 11 16:43:50 localhost systemd[1]: Stopping Save/Restore Sound Card State...

Jul 11 16:43:50 localhost systemd[1]: Stopped target Multi-User System.

Jul 11 16:43:50 localhost systemd[1]: Stopping SpaceAgent deamon...

Jul 11 16:43:50 localhost systemd[1]: Stopping Regular background program processing daemon...

Jul 11 16:43:50 localhost systemd[575]: Stopping Virtual filesystem service...

Jul 12 07:56:19 localhost systemd[1]: Starting Flush Journal to Persistent Storage...

Jul 12 07:56:19 localhost systemd[1]: Started Flush Journal to Persistent Storage.

但疑难问题点在于,我们并不清楚关机的触发源,因为客户确定他们不会去关机,也不希望关机,讲台也没有针对终端的关开机按钮(后续事实证明这句话不完全准确)。

1,整理规律如下

  1. 出现的终端并不固定,多个教室均出现,从出现的数量来看(加上到现场发现的总共出现16台),问题概率高
  2. 问题发生的时间并不固定,有的是晚上8点多,有的是下午2-4点之间
  3. 问题时间尽管不固定,但是11号(周末),出现5台不符合预期关机时间点集中的情况,均在下午4点30-5点之间。

2,部署audit审计服务定位问题

在现场部署了audit服务(见附件1)来审计关机触发源,尽管没定位到触发源,但是从客观上证明了和workspace,spaceagent以及管理平台无关。截取部分审计内容如下:

A)键入last -x | shutdown后的审计结果

type=SYSCALL msg=audit(1626146892.715:736)(2021-07-13 11:28:12): arch=c000003e syscall=59 success=yes exit=0 a0=557d4e603050 a1=557d4e5de6a0 a2=557d4e5df9f0 a3=8 items=2 ppid=4776 pid=4785 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts0 ses=4294967295 comm="shutdown" exe="/bin/systemctl" key="shutdown_call"

type=EXECVE msg=audit(1626146892.715:736): argc=1 a0="shutdown"

type=CWD msg=audit(1626146892.715:736): cwd="/root"

解析:

comm="shutdown" ,命令参数是关机

exe="/bin/systemctl" ,实际执行者是systemctl

key="shutdown_call" ,key是shutdown_call

cwd="/root",执行进程的路径(因为是人为切换到该目录下执行的)

type=EXECVE msg=audit(1626146892.715:736): argc=1 a0="shutdown",执行的命令是shutdown。

故该关机审计是人为在/root目录执行shutdown关机

B)通过ws客户端关机后的审计结果

type=SYSCALL msg=audit(1626058718.076:61): arch=c000003e syscall=59 success=yes exit=0 a0=562fe643d738 a1=562fe6443d88 a2=562fe6445240 a3=0 items=2 ppid=1495 pid=1496 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=4294967295 comm="shutdown" exe="/bin/systemctl" key="shutdown_call"

type=EXECVE msg=audit(1626058718.076:61): argc=3 a0="shutdown" a1="-h" a2="now"

type=CWD msg=audit(1626058718.076:61): cwd="/userdata/H3C/Workspace/E1009"

解析:

comm="shutdown" ,命令参数是shutdown

exe="/bin/systemctl" ,实际执行者是systemctl

key="shutdown_call" ,key是shutdown_call

cwd="/userdata/H3C/Workspace/E1009",执行进程的路径

type=EXECVE msg=audit(1626058718.076:61): argc=3 a0="shutdown" a1="-h" a2="now"

执行的命令是shutdown -h now

故该关机审计是/userdata/H3C/Workspace/E1009下执行了shutdown -h now的关机

C)通过终端关机后的审计结果

#正常关机审计日志开始日志段1:查询服务状态

type=SYSCALL msg=audit(1626053451.193:483): arch=c000003e syscall=59 success=yes exit=0 a0=55d9e0583dd8 a1=55d9e0583d40 a2=55d9e0583d98 a3=1b6 items=2 ppid=4977 pid=4981 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=4294967295 comm="systemctl" exe

最低0.47元/天 解锁文章
Linux安全审计功能的实现—audit命令
yunweimao的博客
02-10 9436
1、简介我们知道在Linux系统中有大量的日志文件可以用于查看应用程序的各种信息,但是对于用户的操作行为(如某用户修改删除了某文件)却无法通过这些日志文件来查看,如果我们想实现监管企业员...
linux(ubuntu)16.04 开机报错“Stopping User Manager for UID 123
热门推荐
vickyleexy's blog
05-16 1万+
服务器卡机之后强制重启出现的问题。 原因及拟解决方法: plan1: 原因: 可能为NVIDIA显卡问题。 拟解决方法: Run mount -o rw,remount /to mount the drive in Read-Write mode. Run sudo apt-get purge nvidia-* to purge the NVIDIA driver. You may also n...
HTTP请求方法完全指南:http-api-guide语义规范详解
gitblog_00812的博客
04-09 538
HTTP请求方法是现代Web开发中的核心概念,掌握各种方法的正确使用对于构建高效、可维护的API至关重要。本文基于http-api-guide项目的最佳实践,为您详细解析GET、POST、PUT、DELETE、PATCH等HTTP方法的语义规范和实际应用场景。无论您是API设计新手还是经验丰富的开发者,这份完整指南都将帮助您深入理解HTTP请求方法的精髓。 ## HTTP请求方法基础概念 HT
Xubuntu16.04系统偶发出现自动登出的问题分析
boss-dog
05-30 1760
没有显示管理器,Linux开机会显示命令行登陆界面,需要使用命令行登陆后手动启动Xserver和窗口管理器才能显示GUI,显示管理器自动的完成这些工作,常见的有GDM、LightDM、DDM。LightDM是运行在Debian系列操作系统上的桌面显示管理器,它的全名是Light Display Manager,表面含义是轻量级桌面显示管理器。又是桌面显示管理器,被杀了就能解释的通为何系统登出,从root用户直接跳到普通用户登录界面了。,这次问题又浮现了,我第一时间拷贝了系统日志。继上次发现的这个问题
停止linux机器的auditd.service
mmgithub123的博客
02-25 4366
使用ansible 或者ssh的时候。因为机器上也装了一些特殊软件。导致经常ansible执行卡住,或者ssh卡住。或者机器莫名假死。 所以绝对停掉auditd.service服务看看。 但这个服务的service文件配置了,RefuseManualStop=yes,是不允许手动停止的。 所以需要这里RefuseManualStop=yes 改成no,然后操作。 ansible all-lin...
Linux 排查必看文件
SHELLCODE_8BIT的博客
11-24 1831
一个常见于Red Hat 系统(如CentOS、Fedora)的安全日志文件,用于记录系统的安全相关事件,包括用户认证、授权和安全相关的事件,如 SSH,telnet,ftp 登录的成功和失败尝试。登录日志通常记录了用户的登录和注销活动,包括登录时间、来源IP地址、使用的用户名等信息。用户 home 目录下的隐藏文件,记录了该用户在终端中执行过的命令,可以永久保存用户的命令历史。Ubuntu 系统下的,用于记录系统的安全相关事件,包括用户认证、授权和安全相关的事件,如SSH登录的成功和失败尝试。
Linux服务器安全加固实战:从SSH防护到SELinux配置
weixin_33717117的博客
06-19 324
Linux系统安全领域,访问控制与入侵防御是保障服务器稳定运行的核心基础。其原理在于通过身份验证、权限管理和行为监控等多层机制,构建纵深防御体系。从技术价值看,这不仅能有效抵御暴力破解、未授权访问等常见攻击,还能在服务被入侵时限制破坏范围,满足企业级合规要求。典型的应用场景包括对外提供服务的Web服务器、数据库服务器以及企业内部应用系统。本文将围绕SSH服务加固与SELinux配置这两个关键环节,结合Fail2ban实时封禁和防火墙白名单控制,详细阐述一套可落地的安全加固方案,帮助管理员从入口防护到内部行
Linux服务器被入侵应急响应实战:隔离、取证、清理与加固
天下无双
06-14 426
Linux服务器安全应急响应是保障生产环境稳定运行的基础能力,其核心在于快速识别入侵迹象、精准定位攻击源头并系统化处置。本文围绕真实挖矿木马入侵事件,深入解析内存快照分析、/proc文件系统深度取证、日志时间线关联拼接等关键技术原理,强调‘隔离-取证-清理-加固’四步闭环方法论的技术价值。内容覆盖SSH暴力破解溯源、恶意进程注入识别、RPM文件完整性校验(rpm -V)、iptables精准网络隔离等高频实战场景,特别适用于CentOS/Red Hat系服务器运维与安全加固工作,为中小规模Linux系统管理
Debian 10 安装 MariaDB 实操指南:绕过 socket 认证、WSL2 连接与等保配置
最新发布
weixin_33713350的博客
06-20 412
MariaDB 是兼容 MySQL 协议的开源关系型数据库,广泛用于 WordPress、RAGFlow 等应用部署。其核心原理基于客户端-服务端架构,通过插件化认证(如 unix_socket)、InnoDB 存储引擎和配置分层机制实现高兼容性与安全性。在 Debian 10 系统中,MariaDB 作为官方默认数据库,具备 apt 原生更新、安全补丁及时推送等工程优势,技术价值体现在开箱即用的等保三级适配能力——如 server_audit 审计插件内置支持、utf8mb4 字符集默认启用、TLS1.2
【安全】linux audit审计使用入门
追寻梦想的青春
10-11 6378
rules:审计规则,其中配置了审计系统需要审计的操作auditctl:用户态程序,用于审计规则配置和配置变更kaudit:内核空间程序,根据配置好的审计规则记录发生的事件auditd:用户态程序,通过netlink获取审计日志用户通过auditctl配置审计规则内核的kauditd程序获取到审计规则后,记录对应的审计日志用户态的auditd获取审计日志并写入日志文件。audit的主要应用场景是安全审计,通过对日志进行分析发现异常行为。
UBUNTU 无法开机,卡在界面 : Stopping User Manager for UID 121
金戈铁马
05-09 1万+
UBUNTU 无法开机,卡在界面 : Stopping User Manager for UID 121” error 原因:磁盘空间不足。 解决方法: 1进入recovery mode 2clean 进入读写模式 3然后 rm 删除腾出空间
auditd审计程序使用详解
daibaohui的博客
08-29 3094
auditd(Linux审核守护程序)简介 auditd是Linux审计系统的用户空间组件。它负责把审计记录写到磁盘上。查看日志是通过ausearch或aureport工具完成的。配置审计系统或加载规则是通过auditctl工具完成的。在启动过程中,/etc/audit/audit.rules中的规则由auditctl读取并加载到内核。另外,还有一个augenrules程序,它读取位于/etc/audit/rules.d/中的规则,并将其编译成audit.rules文件。审计守护程序本身有一些配置选项,管
禁止后台更新
04-22 749
默认情况下,系统运行了一些定时任务从服务器下载系统更新信息,具体涉及内核、安全策略、重要的系统软件等;作为程序员,主要将系统用作相对封闭的开发测试环境,系统更新会起反作用:1、扰乱应用程序对开发环境的版本依赖关系;2、执行手动安装其他应用软件时与其产生,耽误开发进度;3、系统开关机时(特别是虚拟机)长时间的检查等待;
linux 审计--audit
changexhao的专栏
10-15 1915
.audit介绍 auditlinux系统中用于记录用户底层调用情况的系统,如记录用户执行的open,exit等系统调用. 并会将记录写到日志文件中. audit可以通过使用auditctl命令来添加或删除audit规则.设置针对某个用户进行记录,或针对某个 进程的进行记录. audit主要包含2个命令: auditd       audit服务进程 auditctl     au
数据库不定时重启排错
weixin_34082854的博客
04-24 706
问题表现: 数据库不定时重启 怀疑: 1,mysql 占用服务器内存过多, 导致操作系统kill掉了占用内存最大mysql程序,以保证服务器的稳定运行。 2,mysql 写入瞬时写入过多,导致io不正常,从而被系统重启。 3,数据库被人为重启 4,数据库被计划任务重启 问题排查1,查看mysql-error...
Linux日志分析
小森饭的博客
03-02 234
内核及系统日志 这种日志数据由系统服务rsyslog统一管理,根据其主配置文件/etc/rsyslog.conf中的设置决定将内核消息及各种系统程序消息记录到什么位置。系统中有相当一部分程序会把自己的日志文件交由rsyslog管理,因而这些程序使用的日志记录也具有相似的格式。 # 查看/etc/rsyslog.conf文件内容 root@ecs:~# cat /etc/rsyslog.conf...
Linux系统(总结)
Liu_Fang_Hong的博客
05-04 3325
Linux是一套免费使用和自由传播的类Unix操作系统,是一个多用户、多任务、支持多线程和多CPU的操作系统。它能运行主要的UNIX工具软件、应用程序和网络协议。它支持32位和64位硬件。Linux继承了Unix以网络为核心的设计思想,是一个性能稳定的多用户网络操作系统。
Linux使用audit审计用户执行命令
Blue summer的博客
12-19 1万+
注:本文基于CentOS 6.5编写
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值