linux安全體系分析與編程

1、Linux安全體系分析與編程2.2審計系統(tǒng)2.2審計系統(tǒng)審計系統(tǒng)Linux提供了用來記錄系統(tǒng)安全信息的審計系統(tǒng)，審計系統(tǒng)分為用戶空間和內(nèi)核空間審計系統(tǒng)，用戶空間審計系統(tǒng)用來設(shè)置規(guī)則和審計系統(tǒng)狀態(tài)、將內(nèi)核審計系統(tǒng)傳來的審計消息寫入log文件。內(nèi)核審計系統(tǒng)用于產(chǎn)生和過濾內(nèi)核的各種審計消息。本節(jié)重點分析內(nèi)核審計系統(tǒng)產(chǎn)生和過濾審計消息的機制。2.2.1審計系統(tǒng)構(gòu)架審計系統(tǒng)構(gòu)架審計系統(tǒng)提供了一種記錄系統(tǒng)安全信息的方法，為系統(tǒng)管理員在用戶違反系統(tǒng)安

2、全法則時提供及時的警告信息。審計系統(tǒng)的審計信息包括：可被審計的事件名稱、事件狀態(tài)（成功或失?。┖桶踩畔⒌取徲嬒到y(tǒng)可以將記錄系統(tǒng)內(nèi)部發(fā)生的事件的信息根據(jù)用戶的需求，提供不同的報表功能，從而實現(xiàn)對系統(tǒng)信息的追蹤、審查、統(tǒng)計和報告等功能。Linux審計系統(tǒng)子系統(tǒng)之間通信如圖23所示。應(yīng)用程序auditctl用來設(shè)置審計消息過濾規(guī)則、查詢內(nèi)核審計系統(tǒng)狀態(tài)等，它通過link機制與內(nèi)核審計系統(tǒng)的socket線程進行雙向通信。內(nèi)核其他線程的審計信

3、息通過內(nèi)核審計API寫入套接字緩沖區(qū)隊列audit_skb_queue中，內(nèi)核線程kauditd通過link機制將審計消息定向發(fā)送給用戶空間的審計后臺auditd的主線程，auditd主線程再通過事件隊列將審計消息傳給審計后臺的寫log文件線程，由寫log文件線程將審計消息寫入log文件。另一方面，審計后臺還通過一個與套接字綁定的管道將審計消息發(fā)送給dispatcher應(yīng)用程序。2.2.2用戶空間審計系統(tǒng)應(yīng)用程序用戶空間審計系統(tǒng)應(yīng)用程序

4、在用戶空間，審計系統(tǒng)由auditd、audispd、auditctl、autrace、ausearch和aurept等應(yīng)用程序組成。審計后臺auditd應(yīng)用程序通過link機制從內(nèi)核中接收審計消息，然后，通過一個工作線程將審計消息寫入到審計日志文件中，其中，還有一部分消息通過消息分發(fā)后臺進程dispatcher調(diào)用syslog寫入日志系統(tǒng)。審計系統(tǒng)后臺應(yīng)用程序auditd是Linux審計系統(tǒng)的用戶空間部件，它負(fù)責(zé)將審計記錄寫入到硬盤中。

5、ausearch或aurept工具用來查看寫在文件中的審計記錄，auditctl工具用來設(shè)置審計規(guī)則。系統(tǒng)啟動時，auditctl讀取etcaudit.rules中的規(guī)則，審計后臺可以通過auditd.conf文件定制配置。運行auditd后臺的命令如下：auditd[f]其中，選項f表示讓auditctl在前臺運行，以方便調(diào)試，消息可以直接輸出到stderr，而不是輸出到log系統(tǒng)。用于配置auditd后臺的文件說明如下：etcaud

6、itd.conf用于auditd后臺的配置文件。etcaudit.rules啟動時裝載的審計規(guī)則。2auditctl工具auditctl控制行為、得到狀態(tài)、從內(nèi)核審計系統(tǒng)增加或刪除規(guī)則。命令格式如下：auditctl[options]工具auditctl的命令行選項（options）很多，例如：e[0|1]表示停止或啟動內(nèi)核審計功能；a表示將規(guī)則追加到鏈表；S表示系統(tǒng)調(diào)用號或名字；F表示規(guī)則域。工具auditctl設(shè)置規(guī)則的樣例如下：查