некоторое время я интересовался мониторингом соединений TCP/UDP с подробной информацией о процессе, который инициировал соединение.
Я нашел полезную статью об этом - Поиск процесса-владельца недолговечных TCP-соединений
поэтому я выполнил:
auditctl -a выход, всегда -F arch=b64 -S соединение -k MYCONNECT
и начал отслеживать подключения, но через некоторое время я заметил, что любая запись в audit.log с «SYSCALL=connect» относится только к протоколу IPv4, все они имеют такой вид:
type=SYSCALL msg=audit(1626330176.452:56662005): arch=c000003e syscall=42 success=no exit=-115 a0=1b a1=7ffea6f24b00 a2=10 a3=2 items=0 ppid=1 pid=809 auid=4294967295 uid =0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=4294967295 comm="NetworkManager" exe="/usr/sbin/NetworkManager" subj=неограниченный ключ ="MYCONNECT"ARCH=x86_64 SYSCALL=connect AUID="unset" UID="root" GID="root" EUID="root" SUID="root" FSUID="root" EGID="root" SGID="root" ФСГИД="корень"
type=SOCKADDR msg=audit(1626330176.452:56662005): saddr=0200005023E0AA540000000000000000SADDR={ fam=inet laddr=35.224.170.84 lport=80}
type=PROCTITLE msg=audit(1626330176.452:56662005): proctitle="(kManager)"
где fam=inet laddr=35.224.170.84 lport=80 - пункт назначения для подключения
у меня включен протокол IPv6, это можно увидеть через
IP а
у меня есть адрес inet6 и IPv6, через ip6tables я увидел, что IPv6 работает и есть соединения, но я не вижу их в audit.log - есть только соединения IPv6, как я упоминал выше
Можно ли также контролировать IPv6 через auditd?
