linux审计子系统:内核层执行原理

最新推荐文章于 2025-09-26 11:31:45 发布
原创 最新推荐文章于 2025-09-26 11:31:45 发布 · 2.3k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #linux审计子系统 #linux审计子系统内核模块 #审计子系统内核执行原理 #linux审计系统

linux审计子系统用于记录内核部分子模块及应用层(应用程序)的运行状态,如文件系统、进程、systemd应用的执行进展、遇到的问题等信息。审计子系统通过netlink与auditd应用建立kernel <-> audit直接的通信,并通过auditd把信息写入/var/log/audit/audit.log文件(默认地址,可以设置)。
linux审计子系统内核部分设计相对较为简单,甚至内核文档都没有找到关于它的单独描述(只找到了它的函数定义描述)。
linux审计子系统主要看audit_init和audit_fsnotify_init函数即可明白它的大致流程。audit_init函数主要用于分配审计缓存(audit_log_start中获取审计缓冲区的时候使用),初始化audit_queue(审计队列)、audit_retry_queue(重审队列)、audit_hold_queue(保留队列),注册audit_net_ops(网络命名空间子系统,在net结构对象init_net中记录、遍历),运行队列服务线程,它的核心点在kauditd_thread线程函数, kauditd_thread线程函数随着审计系统启动一直运行到审计系统退出,它在有信息时按顺序检查、发送队列信息(audit_hold_queue -> audit_retry_queue -> audit_queue),无信息时进入休眠状态,依次循环一直到退出。而audit_fsnotify_init函数主要用于状态的变更,如多播侦听器是否生效,是否可以多发消息,是否从冻结状态唤醒等等。


1. 函数分析

1.1 audit_init

1.2 audit_fsnotify_init

2. 源码结构

3. 部分结构定义

4. 扩展函数


1. 函数分析

1.1 audit_init

  audit_init 分配审计缓存(audit_log_start中获取审计缓冲区的时候使用),初始化audit_queue(审计队列)、audit_retry_queue(重审队列)、audit_hold_queue(保留队列),注册audit_net_ops(网络命名空间子系统,在net结构对象init_net中记录、遍历),运行队列服务线程
  kauditd_thread线程函数随着审计系统启动一直运行到审计系统退出,它在有信息时按顺序检查、发送队列信息(audit_hold_queue -> audit_retry_queue -> audit_queue),无信息时进入休眠状态,依次循环一直到退出

static int __init audit_init(void)
{
        int i;

        if (audit_initialized == AUDIT_DISABLED) // 如果禁用审计模块,直接返回
                return 0;

        audit_buffer_cache = kmem_cache_create("audit_buffer",
                                               sizeof(struct audit_buffer),
                                               0, SLAB_PANIC, NULL); // 分配审计缓存
                                               
		skb_queue_head_init(&audit_queue); // 初始化审计队列,通过kauditd_task发送(kauditd_thread)
        skb_queue_head_init(&audit_retry_queue); // 重审队列,由于临时单播发送问题而将消息排队
        skb_queue_head_init(&audit_hold_queue); // 保留队列,队列消息等待新的审核连接

		for (i = 0; i < AUDIT_INODE_BUCKETS; i++)
                INIT_LIST_HEAD(&audit_inode_hash[i]); // 基于索引节点的规则的散列(哈希节点)
		
		register_pernet_subsys(&audit_net_ops);
		// 注册网络命名空间子系统 
		// 注册一个子系统,该子系统具有
		// 分别在创建和销毁网络命名空间时调用的init和exit函数
		// 注册后,所有网络命名空间的初始化函数
		// 都会为每个现有的网络命名空间调用
		// 允许内核模块拥有一组网络命名空间的无竞争视图
		// first_device <- ops

audit_net_ops

audit_initialized = AUDIT_INITIALIZED; // 已初始化

kauditd_task = kthread_run(kauditd_thread, NULL, "kauditd"); // 运行队列服务线程
// kauditd_thread 向用户空间发送审核记录的工作线程

kauditd_thread

audit_log(NULL, GFP_KERNEL, AUDIT_KERNEL,
                "state=initialized audit_enabled=%u res=1",
                 audit_enabled); // 记录审计信息,初始化完成

        return 0;
}
postcore_initcall(audit_init);

最低0.47元/天 解锁文章
队列溢出(Queue overflow)
Mr.xing的博客
05-21 1237
当队列达到其最大容量时,如果再有新的元素需要入队,就需要采取某种策略来处理这种情况,否则就会导致队列溢出。因此,在设计队列和相关的系统时,应该仔细考虑队列的大小和容量,以及如何处理队列溢出的情况。队列溢出是指当向队列中添加元素时,队列的当前容量已经达到其最大限制,且没有足够的空间来容纳新的元素。扩大队列容量:在某些情况下,可以动态地调整队列的大小,以容纳更多的元素。丢弃:当队列满时,可以选择丢弃新到达的元素或者丢弃队列中最早或最晚的元素,以腾出空间给新元素。处理队列溢出的策略包括。
4、深入探索Linux内核网络子系统与Netlink套接字
omega的博客
06-15 78
本文深入探讨了Linux内核网络子系统和Netlink套接字的工作原理及应用。首先介绍了Linux内核网络开发模型,包括git补丁管理、提交规则和相关信息资源。随后详细阐述了Netlink套接字的起源、优势、创建流程、协议家族及其在用户空间和内核空间的实现。最后通过技术细节分析和实际应用案例,展示了Netlink套接字在现代网络通信中的重要作用,并展望了其未来发展方向。
Linux挖矿病毒(kswapd0进程使cpu爆满)
m0_52985087的博客
11-07 9123
事情起因:有台测试服务器很久没用了,突然监控到CPU飙到了95以上,并且阿里云服务器厂商还发送了通知消息,【阿里云】尊敬的xxh: 经检测您的阿里云服务(ECS实例)i-xxx存在挖矿活动。因此很明确服务器中挖矿病毒。
kauditd0 病毒/挖矿程序完全清除方法初试
最新发布
NLP与推荐算法
09-26 730
整个处理过程最好在断网的情况下进行,以防病毒与控制服务器通信。完成所有步骤后,重启服务器并再次使用top命令确认CPU/GPU使用率是否已恢复正常。✅ 紧急必做:SSH密钥登录 + 改端口 + 防火墙白名单。✅ 系统加固:更新系统 + 安装Fail2ban + 权限最小化。✅ 持续监控:定期检查进程/端口 + 查看日志 + 安全扫描。最重要的一点安全是一个持续的过程,而非一劳永逸的设置。养成定期查看日志和系统状态的习惯,是守护服务器安全最关键的一环。
对netlink无法检测到dellink事件和探测网卡是否插网线方法的简单分析
王以山的专栏
10-26 6568
看了一下相关的实现,总结一下,有不对的请各位指正。 我看的source是kernel 2.6.27,ifplugd-0.28。 问题1:为啥用netlink检测网线插拔只能得到RTM_NEWLINK? 问题2:如何能检测到网卡插拔的信息。 netlink实现主要是在在net/netlink/af_netlink.c下面,但是rtnetlink.c在net/core下面。还有一个netlin
深入了解Linux审计子系统(一)--概述
宁静致远
04-28 864
Linux平台的审计系统对于普通用户来说可能比较陌生,但对于从事信息安全或系统安全的人来说是很重要的,它就像一套监控系统一样,可以记录下操作系统的每一个过程,例如用户的操作,文件的修改,系统的启动和异常以及网络活动等,这些记录都可以让你知道系统发生过什么,可以进一步了解系统安全漏洞所在,是提高系统安全性的有效支持。 审计子系统产生的背景 在早期的Linux操作系统只有syslo...
【安全】linux audit审计使用入门
wangluoanquan111的博客
03-22 2541
rules:审计规则,其中配置了审计系统需要审计的操作auditctl:用户态程序,用于审计规则配置和配置变更kaudit:内核空间程序,根据配置好的审计规则记录发生的事件auditd:用户态程序,通过netlink获取审计日志用户通过auditctl配置审计规则内核kauditd程序获取到审计规则后,记录对应的审计日志用户态的auditd获取审计日志并写入日志文件。audit的主要应用场景是安全审计,通过对日志进行分析发现异常行为。
Linux学习资源合集:内核、系统管理与API详解
Linux 是一个开源的操作系统内核,广泛应用于服务器、嵌入式设备、桌面系统以及云计算、人工智能等领域。随着 IT 技术的发展,Linux 已成为现代 IT 架构中不可或缺的核心技术之一。本文将基于标题“Linux 学习合集...
Linux GPIO子系统架构】:内核GPIO管理的秘密武器
本文首先介绍了Linux GPIO子系统的基本概念和内核架构,包括其核心框架的工作原理和设备驱动模型。随后,文章详细探讨了GPIO的实践操作技巧,编程接口的使用,以及在设备驱动中如何集成GPIO子系统。进阶应用案例分析...
深入理解Linux内核-第3版-中文版.pdf
09-22
内核中的网络子系统处理数据包的发送和接收,实现了数据链路层、网络层、传输层和应用层的功能。网络设备驱动程序负责与硬件通信,保证数据包能够准确地在网络硬件和内核之间传输。 Linux内核的安全性是确保操作...
audit相关
weixin_43846863的博客
03-29 1693
audit启动 测试了/boot/grub2/grub.cfg 中audit=0,和去除audit=0,以及开启auditd服务等的性能数据: 查看audit的内核模块是否启动 auditctl -s 查看audit内核模块是否启动, enabled 1 (启动) 如果用户空间的audit没有启动,audit日志无人接管,日志就会写道/var/log/messages下 root@wang-virtual-machine:/home/wang/桌面# auditctl -s enabled 1
docker审计日志过大导致磁盘IO
砚墨
08-10 855
2、如果有类似下图的回显,则说明存在该问题,需要进行修复,如果无回显则说明节点不受此问题影响。节点发生磁盘io 节点审计日志量较大,由于操作系统内核缺陷,会低概率出现io卡主。root管理员用户登录节点。验证:执行2、部分命令。...
Linux安全审计功能的实现—audit命令
yunweimao的博客
02-10 9225
1、简介我们知道在Linux系统中有大量的日志文件可以用于查看应用程序的各种信息,但是对于用户的操作行为(如某用户修改删除了某文件)却无法通过这些日志文件来查看,如果我们想实现监管企业员...
技术分享 | Linux 入侵检测中的进程创建监控
wsfcc的专栏
09-06 1372
转载自:看雪专栏 作者简介:张博,网易高级信息安全工程师。 0x00 简介 在入侵检测的过程中,进程创建监控是必不可少的一点,因为攻击者的绝大多数攻击行为都是以进程的方式呈现,所以及时获取到新进程创建的信息能帮助我们快速地定位攻击行为。 本文将介绍一些常见的监控进程创建的方式,包括其原理、Demo、使用条件和优缺点。行文仓促,如果有哪些错误和不足,还望大家批评指正。 0x01 常见方式 目前来看,常见的获取进程创建的信息的方式有以下四种: So preload Netlink .
用户空间审计系统的netlink通信机制
lishenglong666的专栏
12-06 1836
与用户空间审计系统的netlink通信机制 内核审计系统与用户空间的审计后台auditd、规则设置程序auditctl使用netlink机制进行通信。 应用程序auditctl把用户的设置请求消息发送给内核审计系统内核审计系统解析消息并进行相应操作,然后将操作的结果回传给应用程序auditctl。 当netlink机制的接收套接字缓冲区数据准备好时,netlink机制调用函数a
Linux内核审计规则及其数据结构
m0_74186706的博客
03-28 1328
一、基本概念一、基本概念在Linux内核中,是一种安全机制,用于跟踪和记录系统中发生的安全相关事件,例如用户操作、文件访问、系统调用等。其核心目标是提供对系统活动的透明监控,便于事后审查、入侵检测或合规性检查。Linux内核审计机制的核心功能在于实时监控和记录系统中的安全关键事件(如系统调用、文件访问和用户操作),通过动态规则管理允许管理员在不重启系统的条件下灵活调整监控策略,结合内核级高效过滤和异步日志处理,确保对生产环境性能影响最小;
服务器无故nginx异常关闭之kauditd0 kswapd0挖矿病毒 CPU占用200% 内存耗尽
weixin_54284859的博客
11-13 3016
nginx 每隔一段时间就会被关闭掉, 查看nginx日志 没有任何错误信息或异常信息。查看服务器CPU占用情况 ,kauditd0 kswapd0挖矿病毒 CPU占用200% 内存耗尽
Linux设备驱动开发详解-内核模块一个最简单的内核模块编译、加载、卸载、查看
SSSS的博客
05-02 1759
源程序 这是一个最简单的内核模块程序,以后的内核程序就是从这里扩展。 #include <linux/module.h> MODULE_LICENSE("GPL");/*遵循协议*/ MODULE_AUTHOR("yuupengsun, sunyunpeng1122@163.com,185XXXXXXX"); /*模块作者的一些描述*/ MODULE_DESCRIPTION("t...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

坤昱

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值