问题描述
我一直在尝试使用 mdlayher/netlink 从 go 中读取 linux 审计日志。我能够建立连接并设置 PID,以便能够通过单播和多播从 netlink 套接字接收日志。
问题是,当库尝试解析来自 netlink 的消息时,它失败了,不是因为库。我试图转储发送到我的连接的消息,这就是我发现的。
([]uint8) (len=48 cap=4096) {
00000000 1d 00 00 00 28 05 00 00 00 00 00 00 00 00 00 00 |....(...........|
00000010 61 75 64 69 74 28 31 36 31 32 30 33 31 38 36 32 |audit(1612031862|
00000020 2e 36 33 31 3a 32 37 31 30 34 29 3a 20 00 00 00 |.631:27104): ...|
}
这是来自日志流的消息之一。根据 packet structure,前 16 个字节是 netlink message header nlmsghdr
的一部分。
struct nlmsghdr {
__u32 nlmsg_len; /* Length of message including header */
__u16 nlmsg_type; /* Message content */
__u16 nlmsg_flags; /* Additional flags */
__u32 nlmsg_seq; /* Sequence number */
__u32 nlmsg_pid; /* Sending process port ID */
};
请注意,nlmsg_len
如何标记为 length of the message including header
。如果查看消息转储,第一个 __u32
是 1d 00 00 00
,在网络字节顺序中是 29。这意味着整个数据包应该是 29 个字节。但是,如果你计算字节数,它是 45 + 3 个字节的填充,这就是数据包的对齐方式。消息在第 45 字节结束,即 (29 + 16) 或 29 + 消息头大小的长度。
但是,奇怪的是,它只发生在审计日志消息上,而不发生在审计控制消息回复上。有关如何解析数据包结构的示例,请参阅 https://play.golang.com/p/mA7_MJdVSv8。
这是预期的吗?查看 go stdlib syscall.ParseNetlinkMessage
,它似乎遵守了 header + body 约束。我无法在负责 auditd
、auditctl
及其工具系列的 userspace-audit code 中弄清楚。
另一个流行的库,slackhq/go-audit 似乎不依赖标头长度,而是根据从套接字读取的缓冲区大小进行解析。
mdlayher/netlink 库上的这个差异似乎解决了上述问题,并且还可以获得有效负载的字节转储。但事实并非如此。
diff --git a/conn_linux.go b/conn_linux.go
index ef18ef7..561ac69 100644
--- a/conn_linux.go
+++ b/conn_linux.go
@@ -11,6 +11,8 @@ import (
"time"
"unsafe"
+ "github.com/davecgh/go-spew/spew"
+ "github.com/josharian/native"
"golang.org/x/net/bpf"
"golang.org/x/sys/unix"
)
@@ -194,7 +196,13 @@ func (c *conn) Receive() ([]Message,error) {
raw,err := syscall.ParseNetlinkMessage(b[:n])
if err != nil {
- return nil,err
+ spew.Dump(b[:n])
+ bl := native.Endian.Uint32(b[:4]) + syscall.NLMSG_HDRLEN
+ native.Endian.PutUint32(b[:4],bl)
+ raw,err = syscall.ParseNetlinkMessage(b[:n])
+ if err != nil {
+ return nil,err
+ }
}
msgs := make([]Message,len(raw))
重现上述行为的代码
- 读取审核日志的代码:https://play.golang.com/p/Kj4DOl0PKRQ
- 查看 golang 如何解析不同数据包的代码:https://play.golang.com/p/mA7_MJdVSv8
- audit.h 文件:include/audit.h
-
uname -a
:Linux linux-dev 4.15.0-135-generic #139-Ubuntu SMP Mon Jan 18 17:38:24 UTC 2021 x86_64 x86_64 x86_64 GNU/Linux
更新 1
当我尝试通过 AUDIT_SET
消息类型更改审核状态时,似乎会出现上述行为。如果我尝试连接到只读多播组 AUDIT_NLGRP_READLOG
,它似乎不会发生。另外,如果我关闭单播连接然后尝试多播,问题又会回来。基本上,只要我的 PID 绑定到套接字,这个问题就会重新出现。
仅通过多播组连接时的示例转储
([]uint8) (len=76 cap=4096) {
00000000 49 00 00 00 1d 05 00 00 00 00 00 00 00 00 00 00 |I...............|
00000010 61 75 64 69 74 28 31 36 31 32 31 36 35 31 33 31 |audit(1612165131|
00000020 2e 30 31 36 3a 33 33 34 37 32 29 3a 20 61 72 67 |.016:33472): arg|
00000030 63 3d 32 20 61 30 3d 22 61 75 64 69 74 63 74 6c |c=2 a0="auditctl|
00000040 22 20 61 31 3d 22 2d 73 22 00 00 00 |" a1="-s"...|
}
注意如果 0x49 = 73 的大小,准确的数据包长度。
解决方法
暂无找到可以解决该程序问题的有效方法,小编努力寻找整理中!
如果你已经找到好的解决方法,欢迎将解决方案带上本链接一起发送给小编。
小编邮箱:dio#foxmail.com (将#修改为@)