嵌入式Linux支持Audit审计

最新推荐文章于 2024-04-06 21:31:25 发布
最新推荐文章于 2024-04-06 21:31:25 发布
阅读量1.8k 收藏 4
点赞数
分类专栏: 嵌入式Linux 文章标签: audit kill 嵌入式 debug
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cfl927096306/article/details/101219403
版权

背景: 开发过程中发现自己的某个进程被莫名其妙的杀死了,概率性的,不好查。想知道是被哪个进程给误杀了


Linux kernel 版本: linux-3.18.20
audit 版本: audit-1.7.18


首先 Kernel 要支持 audit,要看 linux-3.18.20/kernel 目录下有没有 audit 相关的 .c 文件
audit.c
audit_tree.c
audit_watch.c
auditfilter.c
auditsc.c

有了这些文件就需要修改配置文件,让它们被编译进内核
参考 https://patchwork.kernel.org/patch/7800051/ 拉到网页最后的补丁
发现这个补丁文件还是存在问题,因为它没有打开 HAVE_ARCH_AUDITSYSCALL 这一项,所以最后 AUDITSYSCALL 也没被打开
直接用我如下这个补丁文件: enable_audit.patch

--- a/init/Kconfig	2019-09-20 09:13:06.856735962 +0800
+++ b/init/Kconfig	2019-09-23 17:38:40.490129265 +0800
@@ -317,16 +317,11 @@
 	  auditing without CONFIG_AUDITSYSCALL.
 
 config HAVE_ARCH_AUDITSYSCALL
-	bool
+	bool "HAVE_ARCH_AUDITSYSCALL"
 
 config AUDITSYSCALL
 	bool "Enable system-call auditing support"
 	depends on AUDIT && HAVE_ARCH_AUDITSYSCALL
-	default y if SECURITY_SELINUX
-	help
-	  Enable low-overhead system-call auditing infrastructure that
-	  can be used independently or with another kernel subsystem,
-	  such as SELinux.
 
 config AUDIT_WATCH
 	def_bool y

cd linux-3.18.20
patch -p1 < ../enable_audit.patch

make menuconfig 里面选中这3项
    [*] Auditing support
    [*] HAVE_ARCH_AUDITSYSCALL
    [*]   Enable system-call auditing support


检查看看 .config 这几个都是 y 就可以了
    CONFIG_AUDIT=y
    CONFIG_HAVE_ARCH_AUDITSYSCALL=y
    CONFIG_AUDITSYSCALL=y
    CONFIG_AUDIT_WATCH=y
    CONFIG_AUDIT_TREE=y

编译 kernel,烧写 uImage 镜像文件到开发板上

 

下载源码包和补丁文件: audit-1.7.18.tar.gz + audit-1.7.18-cross.patch + audit-1.7.18-sys_stat_h.patch
http://repository.timesys.com/buildsources/a/audit/audit-1.7.18/

注意: audit-1.7.18-cross.patch 是交叉编译所需的补丁文件,audit-1.7.18-sys_stat_h.patch 是解决编译错误的补丁

解压源码包
tar -zxf audit-1.7.18.tar.gz

打补丁
cd audit-1.7.18
patch -p1 < ../audit-1.7.18-cross.patch
patch -p1 < ../audit-1.7.18-sys_stat_h.patch

配置
./configure CC=arm-hisiv600-linux-gcc --host=arm-hisiv600-linux --prefix=/home/admin/audit_out/

我的开发板是32位系统,所以这个地方需要设置一下(注意要加上大括号括起来)
audit-1.7.18/lib/libaudit.c  audit_detect_machine() 函数里面添加这句: strcpy(uts.machine, "i386");

	int audit_detect_machine(void)
	{
		struct utsname uts;
		if (uname(&uts) == 0) {
			strcpy(uts.machine, "i386");
			return audit_name_to_machine(uts.machine);
		}
		return -1;
	}

编译
make

生成可执行文件、库文件、配置文件
make install


拷贝可执行文件到开发板的 /bin 和 /sbin 目录
拷贝库文件到开发板的 /lib 目录
拷贝配置文件到开发板的 /etc 目录
cp -rfp /home/admin/audit_out/sbin/* /sbin
cp -rfp /home/admin/audit_out/bin/* /bin
cp -rfp /home/admin/audit_out/lib/libaudit.so* /lib
cp -rfp /home/admin/audit_out/lib/libauparse.so* /lib
cp -rfp /home/admin/audit_out/etc/audit/ /etc

mkdir -p /var/log/audit
chown root /etc/audit/auditd.conf
chown root /sbin/audispd
chmod 0750 /sbin/audispd

reboot 开发板

-f 表示前台运行,会有log打出,方便debug(等你解决bug之后可以把要把 -f 去掉,即变为后台运行 auditd)
auditd -f
注意: auditd 是后台守护进程,负责监控记录

可以看看 auditd 有没有跑起来
ps | grep audit
  400 root       0:00 auditd
  403 root       0:00 [kauditd]
  409 root       0:00 grep audit

这一句可以看到当前 auditd 的状态,如果看到 enabled=1 则说明 auditd 已经跑起来了
auditctl -s
注意: auditctl 是配置规则的工具

加上这个规则后,再用 kill 杀死一个进程就可以看到是谁干的了(我发现这里必须得加 -k 给规则起个名字,才能成功添加规则)
auditctl -a exit,always -S kill -k my_monitor_kill

这一句可以查看当前存在的规则有哪些
auditctl -l

试验
pkill -9 xxxx.bin

看看 /var/log/audit/audit.log 有没有相应的 log 信息
type=SYSCALL msg=audit(231.260:3): arch=40000028 syscall=37 per=800000 success=yes exit=0 a0=10c a1=9 a2=9 a3=0 items=0 ppid=341 pid=547 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=ttyAMA0 ses=4294967295 comm="pkill" exe="/bin/busybox" key="my_monitor_kill"
type=OBJ_PID msg=audit(231.260:3): opid=268 oauid=-1 ouid=0 oses=-1 ocomm="xxxx.bin"
type=UNKNOWN[1327] msg=audit(231.260:3): proctitle=706B696C6C002D39006170705F68646D69


ppid=341 pid=547,表示是哪个 pid 发出的 pkill 命令
opid=268,表示是哪个 pid 被杀掉了


ps | grep 341
  341 root       0:00 -sh
  651 root       0:00 grep 341

可以看出 341 这个 pid 是 shell 进程,即命令行发出的 pkill 信号杀掉了 xxxx.bin
 

cfl927096306
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
linux审计进程规则,linux audit审计(5)--audit规则配置
weixin_39552538的博客
04-29 1367
audit可以配置规则,这个规则主要是给内核模块下发的,内核audit模块会按照这个规则获取审计信息,发送给auditd来记录日志。规则类型可分为:1、控制规则:控制audit系统的规则;2、文件系统规则:也可以认为是文件监控,可以监控一个特定文件或者一个路径。3、系统调用规则:可以记录特定程序的系统调用。audit规则可以通过auditctl,在命令行里输入,这些设置的规则为临时的,当系统重启后...
audit交叉编译
weixin_43405004的博客
11-05 660
交叉编译
linux配置选项详解
YGguang的专栏
04-16 2354
原文:http://linux.chinaitlab.com/kernel/890397.html    内核的配置选项有很多,一般情况下大部分选项都可以使用默认值,因此并不需要了解它们所代表的意义;但是某些应用场合需要将内核剪裁的足够小,这就需要我们知道各个选项的意义了。          即使不考虑内核剪裁的因素,当我们打算深入了解某一个子系统时,也需要从该子系统的配置选项入手(可以从该
CONFIG_AUDIT
peterhunter0320的博客
04-06 168
在内核配置菜单中,你可以找到Security options子菜单下的Auditing support选项,将其设置为y即可启用CONFIG_AUDIT。值得注意的是,即使你启用了CONFIG_AUDIT,内核中的审计功能默认可能是关闭的。此外,CONFIG_AUDIT还与其他一些相关的配置选项有关联,比如CONFIG_AUDITSYSCALL,它决定了是否启用系统调用审计。总的来说,CONFIG_AUDIT是一个关键的内核配置选项,它允许你在构建内核时决定是否包含审计功能。
selinux移植调试记录
UUUUUltraman的博客
02-10 822
由于近期在做的一个linux项目要上selinux功能,驱动上倒是问题不多,但是在配置权限时真的是各种难搞的问题,现在经过公司cybersecurity专家的不懈努力,总算是有所进展,做个记录。
Linux audit 日志审计服务安装及使用
01-12
Linux audit 日志审计服务安装及使用 Linux audit 是一种强大的日志审计服务,可以将审计记录写入日志文件,包括记录系统调用和文件访问。管理员可以检查这些日志,确定是否存在安全漏洞。本文将详细介绍 Linux ...
Linux操作系统之安全审计功能-Audit
10-10
Linux操作系统在保障系统安全方面扮演着重要角色,而Audit系统则是Linux中用于实现安全审计的核心组件。本文将深入探讨Linux中的Audit功能,特别是在Kylin Linux Advanced Server release V10 (Tercel)环境下如何...
Linux audit userspace repository.zip
最新发布
06-22
同时,它的开源特性和广泛的社区支持使其成为技术发展的重要推动力。在了解Linux的过程中,人们不仅能够看到其强大的技术基础和广泛的应用领域,还能体会到它作为开源先锋在全球科技发展中的重要地位。
Audit-审计工具箱.exe
04-22
create a shake-up in mobile phone operating systems with the launch of its Android platform. Designed to be completely open and free for developers, the API could change the way mo
audit-userspace:Linux审计用户空间存储库
02-05
在深入探讨"audit-userspace:Linux审计用户空间存储库"之前,我们首先需要理解Linux审计系统的基础知识。Linux审计系统是一个强大的工具,用于记录系统活动,它提供了一种机制来跟踪和记录系统中的关键事件,包括...
Linux驱动编程——Linux配置选项详解
sum_TW的博客
09-06 1505
内核的配置选项有很多,一般情况下大部分选项都可以使用默认值,因此并不需要了解它们所代表的意义;但是某些应用场合需要将内核剪裁的足够小,这就需要我们知道各个选项的意义了。        即使不考虑内核剪裁的因素,当我们打算深入了解某一个子系统时,也需要从该子系统的配置选项入手(可以从该子系统代码目录下的各个Kconfig文件入手),掌握各个代码的关系,避重就轻的进行代码分析。      
linux内核裁剪的具体过程和方法
sun13047140038的博客
06-18 3907
一些特性是否编译为模块的原则是,不常使用的,特别是在系统启动时不需要的驱动可以将其编译为模块,如果是一些在系统启动时就要用到的驱动比如说文件系统,系统总线的支持就不要编为模块,否则无法启动系统。一些特性是否编译为模块的原则是,不常使用的,特别是在系统启动时不需要的驱动可以将其编译为模块,如果是一些在系统启动时就要用到的驱动比如说文件系统,系统总线的支持就不要编为模块了,否在无法启动系统。如果你选"Any" ,内核先用 MMCONFIG ,然后 "Direct",最后才是"BIOS"如果前面的都无法工作。
Linux-3.10-x86_64 内核配置选项简介
热门推荐
samssm的专栏
06-01 1万+
http://www.jinbuguo.com/kernel/longterm-3_10-options.html Linux-3.10-x86_64 内核配置选项简介 作者:金步国 版权声明 本文作者是一位开源理念的坚定支持者,所以本文虽然不是软件,但是遵照开源的精神发布。 无担保:本文作者不保证作品内容准确无误,亦不承担任何由于使用此文档所导致的损
audit可以监听kill事件,找到进程被杀掉的罪魁祸首
xinrun109的专栏
08-31 1281
audit监听kill事件,保留被杀现场,从而分析进程被杀原因,找到凶手。
查看进程被哪个进程杀掉(九十五)
Android系统攻城狮
12-05 1230
1.demo.c #include <unistd.h> #include <sys/syscall.h> #include <stdio.h> int main(){ pid_t tid; while(1){ sleep(1); tid = syscall(SYS_gettid); printf("tid(hex) = %#x, tid(dex) = %d\n",tid,tid); } } # gcc demo.c # ps aux | gre.
Linux内核配置选项简介
ysh1042436059的专栏
12-11 6012
Linux内核配置选项简介 2016年06月02日 16:09:41 没事多学点 阅读数:10730 标签: 内核配置kernel移植menuconfig 更多 个人分类: linux Linux内核配置选项简介   Gentoo Linux Gentoo内核(gentoo-sources)特有的选项 Gentoo Linux support CONFIG_GENTOO_LINUX ...
linux审计功能
lishenglong666的专栏
12-16 3699
linux审计功能(audit) 2010-09-30 16:40:34|  分类: 工作|字号 订阅 2.6 Linux内核有用日志记录事件的能力,比如记录系统调用和文件访问。然后,管理员可以评审这些日志,确定可能存在的安全裂口,比如失败的登录尝试,或者用户对系统文件不成功的访问。这种功能称为Linux审计系统,在Red Hat Enterprise
Audit守护进程配置和审计Linux系统
Jesse技术博客
05-18 3124
Debian安装Audit Debian/Ubuntu使用命令:apt-get install auditd audispd-plugins 查看运行: root@debian:~# service auditd status ● auditd.service - Security Auditing Service Loaded: loaded (/lib/systemd/system/...
部署audit监控文件
weixin_40018205的博客
07-15 1404
审计的目的是基于事先配置的规则生成日志,记录可能发生在系统上的事件(正常或非正常行为的事件),审计不会为系统提供额外的安全保护,但她会发现并记录违反安全策略的人及其对应的行为。审计能够记录的日志内容:a) 日期与事件以及事件的结果b) 触发事件的用户c) 所有认证机制的使用都可以被记录,如ssh等d) 对关键数据文件的修改行为等都可以被记录1)安装软件包,查看配置文件(确定审计日志的位置)[roo...
linux 系统mysql审计插件下载
10-30
要下载Linux系统的MySQL审计插件,可以按照以下步骤进行操作: 1. 打开终端,并切换到你希望将插件下载到的目录中。 2. 使用命令行工具(如wget或curl)下载MySQL审计插件的压缩包。你可以在MySQL官方网站或第三方软件源中找到适合Linux系统的MySQL审计插件。例如,可以使用以下命令下载名为"audit_plugin.tar.gz"的压缩包: ``` wget https://example.com/audit_plugin.tar.gz ``` 上述命令将插件压缩包下载到当前目录中。 3. 解压缩下载好的压缩包。使用以下命令可以解压缩文件: ``` tar -xvf audit_plugin.tar.gz ``` 这将在当前目录中创建一个新的文件夹,其中包含了MySQL审计插件的文件。 4. 进入解压缩后的文件夹,查看插件的说明文档。使用命令行工具阅读README或INSTALL文件,这些文件通常提供了关于如何安装和配置插件的详细信息。 5. 根据插件的说明文档执行安装步骤。这些步骤可能包括复制插件文件到MySQL的插件目录、配置MySQL以使用审计插件等。按照说明文档逐步执行步骤。 6. 安装完成后,可以通过重启MySQL服务来确保插件已成功加载,或者按照说明文档提供的其他方法启用插件。 通过以上步骤,你可以在Linux系统上下载、安装和使用MySQL审计插件。请注意,具体步骤可能因插件的不同而有所变化,你需要根据插件的提供的说明文档来操作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

cfl927096306

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值