Dies ist Teil des Linux-Audit-Frameworks. Siehe hier https://github.com/torvalds/linux/blob/master/include/uapi/linux/audit.hZum Beispiel bedeuten 1702 und 1302:
1702 /* Suspicious use of file links */
1302 /* Filename path information */
Für die Unmatched Entries müssen Sie sich Ihre spezifischen Einstellungen in logwatch.conf und audit.conf
ansehenSchauen wir uns zum Beispiel an, was dieser bedeutet.
audit: type=1702 audit(1501125815.715:26): op=linkat ppid=24321 pid=24322 auid=1004 uid=1004 gid=1005 euid=1004 suid=1004 fsuid=1004 egid=1005 sgid=1005 fsgid=1005 tty=(none) ses=4404 comm="sshd" exe="/usr/sbin/sshd" res=0
Dies ist „Verdächtige Verwendung von Dateiverknüpfungen“ für die Benutzer-ID 1004. Sie müssen also überprüfen, um welchen Benutzer es sich handelt. Es bezieht sich auf die "linkat"-Operation, die eine Linux-Systemfunktion ist und von sshd aufgerufen wurde. Das Audit hat dies als verdächtig gekennzeichnet (beachten Sie, dass es nicht verweigert oder blockiert wurde). Etwas in Ihrem System führt also den Systemaufruf linkat aus (der im Grunde einen neuen Dateinamen erstellt, aber ich bin mit diesem Aufruf nicht so vertraut).