#58577 – Не работает правило Аудита изменения модулей ядра

Bug 58577 - Не работает правило Аудита изменения модулей ядра

Summary: Не работает правило Аудита изменения модулей ядра

Status:	CLOSED FIXED

Alias:	None

Product:	Sisyphus
Classification:	Development
Component:	altcenter (show other bugs)
Version:	unstable
Hardware:	x86_64 Linux

Importance:	P5 normal
Assignee:	Andrey Cherepanov
QA Contact:	qa-sisyphus

URL:
Keywords:

Depends on:
Blocks:

Reported:	2026-04-07 12:50 MSK by Божченко Павел Александрович
Modified:	2026-04-08 13:28 MSK (History)
CC List:	1 user (show)

See Also:

Attachments
Add an attachment (proposed patch, testcase, etc.)

Note You need to log in before you can comment on or make changes to this bug.

Description Божченко Павел Александрович 2026-04-07 12:50:04 MSK

Версия пакета: altcenter-1.0-alt0.27
Версия ядра: 6.12.80-6.12-alt1

Шаги воспроизведения:
1) В Альт Центре перейти в режим эксперта, открыть раздел Настройки журналов аудита
2) Поставить чекбокс для Аудит изменений модулей ядра, применить
2.5) Просмотреть правила auditctl:
# auditctl -l | grep kernel
Вывод:
-w /sbin/insmod -p x -k kernel_module
-w /sbin/rmmod -p x -k kernel_module
-w /sbin/modprobe -p x -k kernel_module
-w /etc/sysctl.conf -p wa -k kernel_module

3) Загрузить любой модуль ядра:
# modprobe xpad
4) Проверить что запись аудита появилась:
# ausearch -k kernel_module

Ожидаемый результат: появилась запись о загрузке нового модуля ядра
Фактический результат: триггер не сработал, запись не появляется

Вероятно, проблема в том что modprobe - символическая ссылка на kmod:
# file /sbin/modprobe
/sbin/modprobe: symbolic link to ../bin/kmod


Запись при загрузке модуля появляется, если использовать следующее правило:
# auditctl -w /usr/bin/kmod -p x -k kernel_module

Запись при использовании указанного правила:
time->Tue Apr  7 12:40:42 2026
type=PROCTITLE msg=audit(1775554842.393:327): proctitle=6D6F6470726F62650078706164
type=PATH msg=audit(1775554842.393:327): item=1 name="/lib64/ld-linux-x86-64.so.2" inode=593224 dev=08:02 mode=0100755 ouid=0 ogid=0 rdev=00:00 obj=unlabeled nametype=NORMAL cap_fp=0 cap_fi=0 cap_fe=0 cap_fver=0 cap_frootid=0
type=PATH msg=audit(1775554842.393:327): item=0 name="/usr/sbin/modprobe" inode=617454 dev=08:02 mode=0100755 ouid=0 ogid=0 rdev=00:00 obj=unlabeled nametype=NORMAL cap_fp=0 cap_fi=0 cap_fe=0 cap_fver=0 cap_frootid=0
type=CWD msg=audit(1775554842.393:327): cwd="/root"
type=EXECVE msg=audit(1775554842.393:327): argc=2 a0="modprobe" a1="xpad"
type=SYSCALL msg=audit(1775554842.393:327): arch=c000003e syscall=59 success=yes exit=0 a0=55cfb5b9c2b0 a1=55cfb5a0c300 a2=55cfb5c2ed20 a3=7 items=2 ppid=2633 pid=3369 auid=0 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts0 ses=5 comm="modprobe" exe="/usr/bin/kmod" subj=kernel key="kernel_module_test"

Comment 1 Repository Robot 2026-04-08 13:28:05 MSK

altcenter-1:1.0-alt0.28 -> sisyphus:

Wed Apr 08 2026 Andrey Cherepanov <cas@altlinux> 1:1.0-alt0.28
- Fixed bugs (ALT #58106, #58308, #58558, #58579, #58577).