【Linux安全审计机制模块总体描述】
审计是事后认定违反安全规则的分析技术,安全审计为管理员在用户违反安全法则时提供及时的警告信息,实现对系统信息的追踪、审查、统计和报告等功能[1]。linux提供了用来记录系统安全事件的审计系统,审计系统包括用户空间审计系统和内核空间审计系统,用户空间审计系统由一些用户空间的审计程序组成,用来开启内核审计功能、设置审计规则和审计系统状态、接收内核审计系统发送来的审计消息并写入log文件,以及审计消息的检索和生成审计总结报告。内核审计系统用于产生和过滤内核的各种审计消息
分析的内容包括:
1.审计消息的生成和发送;
2.审计消息的过滤;
3.对进程和系统调用的审计;
4.对文件或目录的审计。
linux/audit.h 主要包括审计事件、规则域的定义和规则结构类型的定义以及部分钩子
函数的定义。
kernel/audit.h 包括审计状态的结构类型、规则链表条目、基于节点的哈希规则链表的定义和部分外部函数的声明。
kernel/audit.c 审计系统实现的主要文件,包括审计缓冲区的定义,表示审计系统状态的全局变量的定义,审计消息发送和接收所使用的等待队列的声明和审计消息生成和发送的函数audit_log、audit_log_start、audit_log_format和audit_log_end等函数的定义。
kernel/auditsc.c 对系统调用审计提供支持的文件,包括系统调用进入和退出时执行的函数,进程创建时执行规则过滤的函数和系统调用进入或退出时执行的规则过滤函数。
kernel/auditfilter.c 对规则过滤提供支持的文件,包括规则链表及其锁的定义,添加、删除规则的函数、对规则域表达式进行计算的函数以及根据user规则链表和type规则链表进行规则过滤的函数。
kernel/audit_watch.c 对inode监视提供支持的文件,包括审计监视相关数据结构的定义,审计监视处理实例的初始化函数和审计监视事件处理函数及添加、删除审计监视的函数等。
技术方案及原理
审计系统是评价计算机安全性的重要标准之一,审计系统提供了一种记录系统安全信息的方法。审计系统的审计信息包括:可被审计的事件名称、事件状态(成功或失败)和安全信息等.
对于文件系统的审计,在新版本的的内核中,不再使用inotify来监视文件系统的变化,而是直接使用文件系统监视变化的框架fsnotify来进行文件系统的监视,包括对目录的监视和对文件的监视
审计系统关心的事件只是fsnotify定义的事件的一部分,目前审计系统只监视六种审计事件:文件系统对象的创建、删除、移动、文件系统对象自身的删除、移动和孩子节点发生了变化。
参考: Linux安全审计机制模块总体描述
【Linux安全审计机制模块总体描述】相关推荐
- 在linux c 以结构体形式写文件 结构体参数如何在函数中传递,Linux安全审计机制模块实现分析(16)-核心文件之三auditsc.c文件描述及具体变量、函数定义...
原标题:Linux安全审计机制模块实现分析(16)-核心文件之三auditsc.c文件描述及具体变量.函数定义 2.4.3文件三auditsc.c2.4.3.1 文件描述 kernel/auditsc ...
- linux审计原理,Linux安全审计机制模块实现分析(1)
2详细分析 2.1模块功能描述 本模块包含以下几个子系统: (1) 审计消息的生成和发送子系统: (2) 审计消息过滤子系统: (3) 审计系统初始化子系统: (4) 进程审计子系统: (5) 文件系 ...
- Linux桌面需要强制访问控制,Linux强制访问控制机制模块详细描述(1)
原标题:Linux强制访问控制机制模块详细描述(1) 2 详细分析 2.1模块功能描述 对于SELinux中实现的MLS,其主要通过安全级别对系统资源的访问进行限制,相关操作定义在security/s ...
- linux注册函数机制,Linux可信计算机制模块详细分析之函数实现机制(1)字符设备驱动...
原标题:Linux可信计算机制模块详细分析之函数实现机制(1)字符设备驱动 2.3 函数实现机制 2.3.1 Linux 字符设备驱动 在linux 3.5.4中,用结构体cdev描述字符设备,cde ...
- linux加解密指令,Linux加解密支持模块代码总体描述
原标题:Linux加解密支持模块代码总体描述 1.3.4. Linux内核对加密的特性支持分析Linux内核加密特性,就要要根据不同算法所表现出来的特征进行总结.以下通过分组密码.Hash函数.随机数 ...
- linux源码acl,Linux自主访问控制机制模块详细分析之posix_acl.c核心代码注释与acl.c文件介绍...
原标题:Linux自主访问控制机制模块详细分析之posix_acl.c核心代码注释与acl.c文件介绍 2.4.4.6 核心代码注释 1 posix_acl_permission() int(stru ...
- Linux保护文件实现,Linux完整性保护机制模块实现分析(1)
原标题:Linux完整性保护机制模块实现分析(1) 2 详细分析2.1 模块功能描述 文件系统完整性模块包含四种机制:监控磁盘机制.同步机制.检查修复文件系统机制.监视文件系统机制. 1.监控磁盘机制 ...
- linux通信机制总结
目录 1. Linux通信机制分类简介 2. Inter-Process Communication (IPC) mechanisms: 进程间通信机制0x1: 信号量(Signals)0x2: 管道 ...
- linux文件夹前的描述,Linux对内存结构的描述
Linux对内存结构的描述 1.查看Linux程序运行时状态 Linux在运行可执行文件时,该状态信息全部在/porc/${PID}中. proc文件系统是一个伪文件系统,它只存在内存当中,而不占用外 ...
- Linux 内核安全模块学习总结
Linux安全模块(LSM) LSM是Linux Secrity Module的简称,即linux安全模块.其是一种轻量级通用访 问控制框架,适合于多种访问控制模型在它上面以内核可加载模块的形实现.用 ...
最新文章
- linux 卡在grub_详解ubuntu双系统启动时卡死解决办法
- 没有在工厂1112中维护 MRP 参数
- UrlRewrite(URL重写)--ASP.NET中的实现
- 编写一个函数func(),将此函数的输入参数(int型)逆序输出显示,如54321 – 12345,要求使用递归,并且函数体代码不超过8行...
- CLion导入用户自己的lib和头文件
- linux-磁盘情况查询-待小结
- selenium webdriver中的常用鼠标操作
- 竞赛经验——全国大学生创新创业训练计划(国创)
- linux安装英特尔AX200网卡驱动
- El Capitan/Serial on the Intel Skylake NUC
- Google 展示广告
- Aspose.Words使用模板导出数据库中图片内容
- 有关51单片机串口通信点灯的问题
- ubuntu分区大小
- 漫画:如何给女朋友解释灭霸的指响并不是真随机消灭半数宇宙人口的?
- win7计算机自动关机设置在哪里设置方法,win7自动关机怎么设置?W7自动关机命令设置方法...
- 赵世顺的艺术签名怎么写
- c语言中x=y=100合法吗,【单选题】已知:int x; int y[10]; 下列合法的选项是( )。 A. x B. (x+3) C. 5 D. y...
- 联想服务器u盘安装win7系统安装教程,联想笔记本U盘重装win7系统步骤详细图文教程...
- matlab求矩阵距平矩阵,matlab经验正交函数EOF(转载)