Bug 58577

Summary: Не работает правило Аудита изменения модулей ядра
Product: Sisyphus Reporter: Божченко Павел Александрович <bozhchenkopa>
Component: altcenterAssignee: Andrey Cherepanov <cas>
Status: CLOSED FIXED QA Contact: qa-sisyphus
Severity: normal    
Priority: P5 CC: cas
Version: unstable   
Hardware: x86_64   
OS: Linux   

Description Божченко Павел Александрович 2026-04-07 12:50:04 MSK 
Версия пакета: altcenter-1.0-alt0.27
Версия ядра: 6.12.80-6.12-alt1

Шаги воспроизведения:
1) В Альт Центре перейти в режим эксперта, открыть раздел Настройки журналов аудита
2) Поставить чекбокс для Аудит изменений модулей ядра, применить
2.5) Просмотреть правила auditctl:
# auditctl -l | grep kernel
Вывод:
-w /sbin/insmod -p x -k kernel_module
-w /sbin/rmmod -p x -k kernel_module
-w /sbin/modprobe -p x -k kernel_module
-w /etc/sysctl.conf -p wa -k kernel_module

3) Загрузить любой модуль ядра:
# modprobe xpad
4) Проверить что запись аудита появилась:
# ausearch -k kernel_module

Ожидаемый результат: появилась запись о загрузке нового модуля ядра
Фактический результат: триггер не сработал, запись не появляется

Вероятно, проблема в том что modprobe - символическая ссылка на kmod:
# file /sbin/modprobe
/sbin/modprobe: symbolic link to ../bin/kmod


Запись при загрузке модуля появляется, если использовать следующее правило:
# auditctl -w /usr/bin/kmod -p x -k kernel_module

Запись при использовании указанного правила:
time->Tue Apr  7 12:40:42 2026
type=PROCTITLE msg=audit(1775554842.393:327): proctitle=6D6F6470726F62650078706164
type=PATH msg=audit(1775554842.393:327): item=1 name="/lib64/ld-linux-x86-64.so.2" inode=593224 dev=08:02 mode=0100755 ouid=0 ogid=0 rdev=00:00 obj=unlabeled nametype=NORMAL cap_fp=0 cap_fi=0 cap_fe=0 cap_fver=0 cap_frootid=0
type=PATH msg=audit(1775554842.393:327): item=0 name="/usr/sbin/modprobe" inode=617454 dev=08:02 mode=0100755 ouid=0 ogid=0 rdev=00:00 obj=unlabeled nametype=NORMAL cap_fp=0 cap_fi=0 cap_fe=0 cap_fver=0 cap_frootid=0
type=CWD msg=audit(1775554842.393:327): cwd="/root"
type=EXECVE msg=audit(1775554842.393:327): argc=2 a0="modprobe" a1="xpad"
type=SYSCALL msg=audit(1775554842.393:327): arch=c000003e syscall=59 success=yes exit=0 a0=55cfb5b9c2b0 a1=55cfb5a0c300 a2=55cfb5c2ed20 a3=7 items=2 ppid=2633 pid=3369 auid=0 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts0 ses=5 comm="modprobe" exe="/usr/bin/kmod" subj=kernel key="kernel_module_test"
Comment 1 Repository Robot 2026-04-08 13:28:05 MSK 
altcenter-1:1.0-alt0.28 -> sisyphus:

Wed Apr 08 2026 Andrey Cherepanov <cas@altlinux> 1:1.0-alt0.28
- Fixed bugs (ALT #58106, #58308, #58558, #58579, #58577).