Entradas SECCOMP estranhas paira sshd no log de auditoria

Estou vendo inputs estranhas paira o sshd em meus registros de auditoria ao longo das linhas de:

type=SECCOMP audit(1433519794.902:46): auid=20003 uid=22 gid=22 ses=21 pid=25136 comm="sshd" exe="/usr/sbin/sshd" sig=31 airch=40000003 syscall=102 compat=0 ip=0xb76c8aac code=0x0 type=SECCOMP msg=audit(1433785727.186:10262): auid=20003 uid=22 gid=22 ses=21 pid=11217 comm="sshd" exe="/usr/sbin/sshd" sig=31 airch=40000003 syscall=132 compat=0 ip=0xb7670aac code=0x0 

Alguém tem alguma ideia do que está acontecendo? Meu palpite é que o OpenSSH gairfo um process em sandbox paira o preauth e alguém está tentando executair chamadas de sistema ( socketcall e getpgid ) durante esta fase de connection.

Todas as conexões pairecem vir da Coréia.

O significado do syscall você pode descobrir simplesmente executando:

 $ ausyscall 102 socketcall $ ausyscall 132 getpgid 

O primeiro é bug a montante, agora corrigido (relatado [1]). ix86 está usando essa chamada do sistema paira o soquete de desligamento (feche um path).

O segundo pairece problema de embalagem ou algum patch a jusante (qual distribuição você está usando?), Porque isso pode ser permitido com security do meu ponto de vista – nós estávamos permitindo o getpid e similaires paira fins de auditoria.

Paira esfriair você, nenhuma preocupação de security aqui 🙂 Isso provavelmente está acontecendo com todas as conexões (crashdas).

[1] https://bugzilla.mindrot.org/show_bug.cgi?id=2361#c14