文章目录
-
* * 1 audit简介- 2 auditctl的使用
- 2 audit配置和规则
- 3 工作原理
- 4 audit接口调用
-
* 4.1 获取和修改配置- 4.2 获取和修改规则
- 4.3 获取审计日志
- 5 audit存在的问题
-
* 5.1 内核版本- 5.2 审计日志过多造成的缓存队列和磁盘问题
- 5.2 容器环境下同一个命令的日志存在差异
- 6 参考文档
1 audit简介
audit是Linux内核提供的一种审计机制,由于audit是内核提供的,因此,在使用audit的过程中就包含内核空间和用户空间部分:
- rules:审计规则,其中配置了审计系统需要审计的操作
- auditctl:用户态程序,用于审计规则配置和配置变更
- kaudit:内核空间程序,根据配置好的审计规则记录发生的事件
- auditd:用户态程序,通过netlink获取审计日志
通常的使用流程:
- 用户通过auditctl配置审计规则
- 内核的kauditd程序获取到审计规则后,记录对应的审计日志
- 用户态的auditd获取审计日志并写入日志文件。
audit的主要应用场景是安全审计,通过对日志进行分析发现异常行为。
2 auditctl的使用
auditctl是用户态的控制程序,可以修改audit配置以及审计规则的操作。
auditctl的选项可以分成两类。
配置类:
- -b:配置buffer的大小
- -e:设置enabled标记
- -f:设置failure标记
- -s:返回整体的状态
- –backlog_wait_time:设置backlog_wait_time
审计规则类:
- -a & -A l,a:往某个规则表中增加需要记录的行为
- -d:从某个规则表中删除规则
- -D:删除所有规则
- -F f=v:设置更多监控条件
- -l:查看规则
- -p:在文件监控上设置权限过滤
- -i:当从文件中读取规则时忽略错误
- -c:出错时继续
- -r:设置rate_limit,每秒多少条消息
- -R:从文件中读取规则
- -S:设置要监控的系统调用名或者系统调用号
- -w:增加监控点
- -W:删除监控点
例如,假如我们想要获取调用execve系统调用的事件,可以增加下列的规则:
auditctl -a always,exit -S execve -F key=123456
然后就可以通过ausearch查找该日志:
ausearch -k 123456
如果想要获取执行tail命令的事件,可以增加规则:
auditctl -w /usr/bin/tail -p x -k 123456
然后使用tail命令查看通过ausearch命令查看日志:
time->Sun Apr 23 15:47:36 2023
type=PROCTITLE msg=audit(1682236056.128:4318964): proctitle=7461696C002D6E0032006C756F2E7368
type=PATH msg=audit(1682236056.128:4318964): item=1 name=“/lib64/ld-linux-x86-64.so.2” inode=36969 dev=08:03 mode=0100755 ouid=0 ogid=0 rdev=00:00 obj=system_u:object_r:ld_so_t:s0 objtype=NORMAL cap_fp=0000000000000000 cap_fi=0000000000000000 cap_fe=0 cap_fver=0
type=PATH msg=audit(1682236056.128:4318964): item=0 name=“/usr/bin/tail” inode=100666597 dev=08:03 mode=0100755 ouid=0 ogid=0 rdev=00:00 obj=system_u:object_r:bin_t:s0 objtype=NORMAL cap_fp=0000000000000000 cap_fi=0000000000000000 cap_fe=0 cap_fver=0
type=CWD msg=audit(1682236056.128:4318964): cwd=“/root”
type=EXECVE msg=audit(1682236056.128:4318964): argc=4 a0=“tail” a1=“-n” a2=“2” a3=“luo.sh”
type=SYSCALL msg=audit(1682236056.128:4318964): arch=c000003e syscall=59 success=yes exit=0 a0=20749e0 a1=218ecd0 a2=2179ee0 a3=7fffa4a99460 items=2 ppid=58219 pid=59519 auid=0 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts1 ses=956 comm=“tail” exe=“/usr/bin/tail” subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 key=“123456”
可以看到,开头一行是事件发生的事件,后面的若干行是执行tail命令产生的事件日志,有些日志很简单,例如CWD,表示操作的当前路径,而有些日志很复杂,例如SYSCALL,有接近30个字段。每行日志都有type字段和msg字段(冒号前面是时间戳,可以通过date命令转换,冒号后面是事件ID,同一条规则产生的事件的事件ID是一样的,因此,如果不使用ausearch查找某条规则产生的日志,就需要先用key进行查找,找到对应的事件ID,然后再通过事件ID查找产生的所有日志)。
这里的tail命令的监控,我们只关注上面的2个事件:
- EXECVE:这里给出了调用的参数,argc和argv
- SYSCALL:arch(架构),syscall(系统调用号,可以通过ausyscall --dump查看),success(调用是否成功),exit(返回码),a0~a3为系统调用前4个参数,ppid(父进程ID),pid(进程ID),comm(执行的命令),exe(执行execve的可执行文件)
2 audit配置和规则
通过auditctl -s命令可以看到当前audit的一些属性和配置:
- enabled:表明audit是否会记录事件,可以通过auditctl -e设置
- failure:表明audit是否会记录失败事件,设置为1,才会记录失败事件
- pid:占用audit的进程的pid
- rate_limit:内核每秒发送的最大消息数,如果是0,表示不限制
- backlog_limit:缓存队列长度限制
- lost:由于缓存队列超过限制而导致的丢失的记录数
- backlog:当前缓存队列中等待读取的记录数
- backlog_wait_time:缓存队列满时的等待时间
其中backlog_wait_time是后面的版本提供的。
3 工作原理
除了上述的使用外,audit还有一个特点:独占性。实际的审计操作是由内核中的kauditd完成的,auditd再通过netlink读取审计日志。而kauditd是只允许与一个用户态进程连接,因此,如果系统上已经有auditd进程与kauditd建立连接,后续其他进程进行了抢占,auditd则会断开。那么,如果判断当前是哪个进程与kautid建立了连接呢?可以通过auditctl
-s中的pid进行判断。
另一个重要的地方是kaudit如何去应用配置的规则。在auditctl的-a <l,a>选项中,给出的选项含义是:将规则和对应的action加入到list后面。list有4种:task、exit、user、exclude,action有2种:never、always。
task、exit、user分别表示审计事件的三种类型:user事件是指与用户相关的事件,例如用户登录、注销、切换等。task是指与进程相关的事件,例如进程创建、退出、切换等。exit是指与系统调用相关的事件。exclude只是一个关键字,用于排除不需要审计的文件或者目录。因此,这里面的事件类型与其他的某些选项有强相关:
- -a用于增加规则,-w用于监视文件,两者不能同时使用,说明在实现上,分别维护了以事件类型进行分类的4个列表,同时还维护了需要监视的文件列表
- -S指定系统调用号,因此,只能用于-a exit
配置和规则的变更:
当通过auditctl操作配置或者规则时,会通过netlink将规则发送到内核,内核接收到到配置后会对内部的配置或者规则进行更新
对于规则来说,内核(4.19.281)内部会维护7个链表:
- AUDIT_FILTER_USER:用户生成的日志
- AUDIT_FILTER_TASK:进程创建
- AUDIT_FILTER_ENTRY:系统调用入口
- AUDIT_FILTER_WATCH:文件系统监控
- AUDIT_FILTER_EXIT:系统调用退出
- AUDIT_FILTER_EXCLUDE:审计日志排除
- AUDIT_FILTER_FS
4 audit接口调用
auditctl使用netlink与内核进行交互,因此,要想实现audit的一些能力,就需要采用netlink实现一套交互接口,幸运的是,已经有库可以完成这项工作:yum
install -y audit-libs-devel,然后编译时带上-laudit。
安装完成后,可以查看头文件/usr/include/libaudit.h看下提供的方法。
4.1 获取和修改配置
#include
#include <libaudit.h>
using namespace std;
int main() {
int fd = audit_open();
audit_request_status(fd);
struct audit_reply reply;
audit_get_reply(fd, &reply, GET_REPLY_BLOCKING, 0);
struct audit_status *status;
status = reply.status;
cout <<"auditctl -s return:" <<endl;
cout << "enabled=" << status->enabled << endl;
cout << "failure=" << status->failure << endl;
cout << "pid=" << status->pid << endl;
cout << "rate_limit=" << status->rate_limit << endl;
cout << "backlog_limit=" << status->backlog_limit << endl;
cout << "lost=" << status->lost << endl;
cout << "backlog=" << status->backlog << endl;
return 0;
}
先试用audit_request_status()向内核发送请求,表明要获取配置信息,然后再通过audit_get_reply()接收数据,数据放在struct
audit_reply的结构体:
// /usr/src/libaudit.h
struct audit_reply {
int type;
int len;
struct nlmsghdr *nlh;
struct audit_message msg;
/* Using a union to compress this structure since only one of
* the following should be valid for any packet. */
union {
struct audit_status *status;
struct audit_rule_data *ruledata;
struct audit_login *login;
char *message;
struct nlmsgerr *error;
struct audit_sig_info *signal_info;
struct daemon_conf *conf;
#ifdef AUDIT_FEATURE_BITMAP_ALL
struct audit_features *features;
#endif
};
};
如果是获取配置信息,此时数据放在status中:
// include/uapi/linux/audit.h
struct audit_status {
__u32 mask; /* Bit mask for valid entries /
__u32 enabled; / 1 = enabled, 0 = disabled /
__u32 failure; / Failure-to-log action /
__u32 pid; / pid of auditd process /
__u32 rate_limit; / messages rate limit (per second) /
__u32 backlog_limit; / waiting messages limit /
__u32 lost; / messages lost /
__u32 backlog; / messages waiting in queue /
union {
__u32 version; / deprecated: audit api version num /
__u32 feature_bitmap; / bitmap of kernel audit features */
};
};
因此,只要读取返回的audit_reply中的status中的上述字段即可。需要注意的是,如果audit_get_reply()中的第3个参数设置为GET_REPLY_NONBLOCKING,可能拿不到数据,因为fd可能还没有可读的数据,所以,这里要么设置为GET_REPLY_BLOCKING,要么使用select:
#include
#include <libaudit.h>
using namespace std;
int main() {
struct timeval t = {
.tv_sec = 0, .tv_usec = 500000
};
int fd = audit_open();
audit_request_status(fd);
fd_set read_mask;
FD_ZERO(&read_mask);
FD_SET(fd, &read_mask);
select(fd+1, &read_mask, NULL, NULL, &t);
struct audit_reply reply;
audit_get_reply(fd, &reply, GET_REPLY_NONBLOCKING, 0);
struct audit_status *status;
status = reply.status;
cout <<"auditctl -s return:" <<endl;
cout << "enabled=" << status->enabled << endl;
cout << "failure=" << status->failure << endl;
cout << "pid=" << status->pid << endl;
cout << "rate_limit=" << status->rate_limit << endl;
cout << "backlog_limit=" << status->backlog_limit << endl;
cout << "lost=" << status->lost << endl;
cout << "backlog=" << status->backlog << endl;
return 0;
}
对于修改配置的操作,libaudit直接提供了对应的api函数,例如,设置backlog_limit,可以直接调用audit_set_backlog_limit()。
4.2 获取和修改规则
#include
#include <libaudit.h>
using namespace std;
int main() {
struct timeval t = {
.tv_sec = 0, .tv_usec = 500000
};
int fd = audit_open();
do {
audit_request_rules_list_data(fd);
fd_set read_mask;
FD_ZERO(&read_mask);
FD_SET(fd, &read_mask);
select(fd+1, &read_mask, NULL, NULL, &t);
struct audit_reply reply;
audit_get_reply(fd, &reply, GET_REPLY_NONBLOCKING, 0);
if(reply.type == NLMSG_DONE) {
break;
}
struct audit_rule_data *rules;
rules = reply.ruledata;
cout <<"auditctl -l return:" <<endl;
cout << audit_flag_to_name(rules->flags) << endl;
cout << audit_action_to_name(rules->action) << endl;
} while(true);
return 0;
}
获取规则跟获取配置的区别只是发起操作的函数和数据解析不同,获取规则使用audit_request_rules_list_data()发起操作,解析数据时则需要解析struct
audit_rule_data的数组。
#include
#include <libaudit.h>
#include <linux/audit.h>
using namespace std;
int main() {
int fd = audit_open();
struct audit_rule_data *rule = new(struct audit_rule_data);
audit_rule_syscall_data(rule, 57);
audit_add_rule_data(fd, rule, AUDIT_FILTER_EXIT, AUDIT_NEVER);
return 0;
}
上面的代码相当于auditctl -a exit,never -S execve。
#include
#include <libaudit.h>
#include <linux/audit.h>
using namespace std;
int main() {
int fd = audit_open();
struct audit_rule_data *rule = new(struct audit_rule_data);
audit_add_watch(&rule, "/etc/passwd");
audit_add_rule_data(fd, rule, AUDIT_FILTER_EXIT, AUDIT_ALWAYS);
return 0;
}
上面的代码相当于auditctl -w /etc/passwd -p rwxa。
4.3 获取审计日志
获取升级日志还是使用netlink的方式读取:
#include
#include <libaudit.h>
#include <string.h>
#include <unistd.h>
using namespace std;
int main() {
int audit_fd = audit_open();
if (audit_fd < 0) {
cout << "open audit fail:" << strerror(errno) << endl;
return -1;
}
audit_set_enabled(audit_fd, 1);
struct audit_reply audit_rep;
int ret;
struct timeval t = {
.tv_sec = 5, .tv_usec = 0
};
pid_t cur_pid = getpid();
ret = audit_set_pid(audit_fd, static_cast<uint32_t>(cur_pid),
WAIT_NO);
if (ret <= 0) {
cout << "audit_set_pid fail:" << strerror(errno) << endl;
return -1;
}
do {
fd_set read_mask;
FD_ZERO(&read_mask);
FD_SET(audit_fd, &read_mask);
ret = select(audit_fd + 1, &read_mask, nullptr, nullptr, &t);
if (ret <= 0) {
cout << "select fail:" << strerror(errno) << endl;
continue;
}
ret = audit_get_reply(audit_fd, &audit_rep,
GET_REPLY_NONBLOCKING, 0);
if (ret <= 0) {
cout << "open audit fail:" << strerror(errno) << endl;
}
printf("%s %s", __FUNCTION__, audit_rep.msg.data);
cout << audit_rep.msg.data << endl;
} while(true);
return 0;
}
5 audit存在的问题
如果只是正常使用audit:配置audit规则,查看审计日志,也没啥问题,但是,实际使用过程中,还是存在一些问题。
5.1 内核版本
不同版本的内核在实现机制上有所不同,因此,运行表现和参数控制上也有所不同:
- 小于3.14的内核没有提供设置backlog_wait_time的接口
5.2 审计日志过多造成的缓存队列和磁盘问题
audit_log_end将审计日志放到audit_queue的队尾,如果审计日志较多,可能会导致队列很长,占用的资源增多,因此,内核也提供了一些参数进行控制:
-
backlog_limit:缓存队列长度限制
-
backlog_wait_time:缓存队列满的等待时间
// audit_log_start(linux-4.19.281)
// auditd_test_task:检查当前进程是否是audit daemon进程
// audit_ctl_owner_current:检查当前进程是否持有audit_cmd_mutex锁
// 因此,这里进入if的条件是:当前进程不是audit daemon进程,并且没有持有锁
if (!(auditd_test_task(current) || audit_ctl_owner_current())) {// 获取audit_backlog_wait_time,就是auditctl -s中的backlog_wait_time long stime = audit_backlog_wait_time; // audit_backlog_limit就是auditctl -s中的backlog_limit,默认值是64 // 因此,这里进入while的条件是:设置了backlog_limit,并且当前缓存队列的长度大于backlog_limit while (audit_backlog_limit && (skb_queue_len(&audit_queue) > audit_backlog_limit)) { // 唤醒kauditd处理队列中的日志 wake_up_interruptible(&kauditd_wait); /* sleep if we are allowed and we haven't exhausted our * backlog wait limit */ // 如果当前进程允许休眠,并且backlog_wait_time大于0,则进入if,backlog_wait_time默认是60s if (gfpflags_allow_blocking(gfp_mask) && (stime > 0)) { // 创建等待队列的节点 DECLARE_WAITQUEUE(wait, current); // 将刚才创建的等待队列的节点wait加入到队列audit_backlog_wait中 add_wait_queue_exclusive(&audit_backlog_wait, &wait); set_current_state(TASK_UNINTERRUPTIBLE); // 让当前进程休眠一段时间 stime = schedule_timeout(stime); // 将wait从audit_backlog_wait队列中移除 remove_wait_queue(&audit_backlog_wait, &wait); } else { // 如果当前进程没有休眠,则先检查审计日志的生成速度是否超过rate_limit if (audit_rate_check() && printk_ratelimit()) pr_warn("audit_backlog=%d > audit_backlog_limit=%d\n", skb_queue_len(&audit_queue), audit_backlog_limit); // lost自增1,并在审计日志中打印缓存队列超过限制 audit_log_lost("backlog limit exceeded"); return NULL; } } }
从上面的代码可以看出,当队列长度超过backlog_limit时,内核会休眠一段时间backlog_wait_time(默认60秒),如果backlog_limit为0,则不会休眠,而是会打印backlog
limit exceeded日志。
因此,如果backlog_wait_time不为0,而日志太多时,可能导致内核频繁休眠,极端情况下,系统直接卡死。
如果要解决这个问题,可以从几个方面入手:
- 审计规则尽可能只配置必要的,防止生成大量无用的审计日志
- 根据机器配置增加backlog_limit,例如,将backlog_limit可以设置为8193或者更大
- backlog_wait_time设置为0,当日志过多时直接丢弃,防止影响日常的使用
- 审计日志的消费者尽可能快速消费日志,可能的情况下,可以增加丢弃策略,防止审计日志堆积
当审计日志过多,还会造成磁盘占用率的问题:当审计日志太多,可能会占用大量磁盘空间。
需要注意的是,即使没有配置审计规则,日志中也可能有审计日志,pam认证、服务启动等,在没有规则的情况下内核也会生成审计日志。
同时,从3.16.0开始,内核增加了多消费者,允许多个进程同时读取审计日志,那么,如果存在其他进程也读取审计然后写到日志文件的话,磁盘占用的问题又会放大,因此,对于磁盘占用的问题,可以从以下几个方面入手:
- 是否有其他进程也读取了审计日志
- 在没有配置审计规则的情况下是否也会产生大量日志
5.2 容器环境下同一个命令的日志存在差异
在容器环境下,同一个命令的日志可能存在差异,因为命令的实现有所不同,比较典型的是,有些镜像的vi是重定向到busybox,有些则是跟主机一样的二进制文件,那么他们产生的日志就不同,就会造成分析上的困难。
6 参考文档
e题外话
初入计算机行业的人或者大学计算机相关专业毕业生,很多因缺少实战经验,就业处处碰壁。下面我们来看两组数据:
2023届全国高校毕业生预计达到1158万人,就业形势严峻;
国家网络安全宣传周公布的数据显示,到2027年我国网络安全人员缺口将达327万。
一方面是每年应届毕业生就业形势严峻,一方面是网络安全人才百万缺口。
6月9日,麦可思研究2023年版就业蓝皮书(包括《2023年中国本科生就业报告》《2023年中国高职生就业报告》)正式发布。
2022届大学毕业生月收入较高的前10个专业
本科计算机类、高职自动化类专业月收入较高。2022届本科计算机类、高职自动化类专业月收入分别为6863元、5339元。其中,本科计算机类专业起薪与2021届基本持平,高职自动化类月收入增长明显,2022届反超铁道运输类专业(5295元)排在第一位。
具体看专业,2022届本科月收入较高的专业是信息安全(7579元)。对比2018届,电子科学与技术、自动化等与人工智能相关的本科专业表现不俗,较五年前起薪涨幅均达到了19%。数据科学与大数据技术虽是近年新增专业但表现亮眼,已跻身2022届本科毕业生毕业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。
“没有网络安全就没有国家安全”。当前,网络安全已被提升到国家战略的高度,成为影响国家安全、社会稳定至关重要的因素之一。
网络安全行业特点
1、就业薪资非常高,涨薪快 2022年猎聘网发布网络安全行业就业薪资行业最高人均33.77万!
2、人才缺口大,就业机会多
2019年9月18日《中华人民共和国中央人民政府》官方网站发表:我国网络空间安全人才 需求140万人,而全国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W,现在从事网络安全行业的从业人员只有10W人。
行业发展空间大,岗位非常多
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…
职业增值潜力大
网络安全专业具有很强的技术特性,尤其是掌握工作中的核心网络架构、安全技术,在职业发展上具有不可替代的竞争优势。
随着个人能力的不断提升,所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟,升值空间一路看涨,这也是为什么受大家欢迎的主要原因。
从某种程度来讲,在网络安全领域,跟医生职业一样,越老越吃香,因为技术愈加成熟,自然工作会受到重视,升职加薪则是水到渠成之事。
黑客&网络安全如何学习
今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。
1.学习路线图
行业发展空间大,岗位非常多
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…
职业增值潜力大
网络安全专业具有很强的技术特性,尤其是掌握工作中的核心网络架构、安全技术,在职业发展上具有不可替代的竞争优势。
随着个人能力的不断提升,所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟,升值空间一路看涨,这也是为什么受大家欢迎的主要原因。
从某种程度来讲,在网络安全领域,跟医生职业一样,越老越吃香,因为技术愈加成熟,自然工作会受到重视,升职加薪则是水到渠成之事。
黑客&网络安全如何学习
今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。
1.学习路线图
攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。
2.视频教程
网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等,都是网络安全入门必知必会的学习内容。
3.技术文档和电子书
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。
4.工具包、面试题和源码
“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。
还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。
这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。
参考解析:深信服官网、奇安信官网、Freebuf、csdn等
内容特点:条理清晰,含图像化表示更加易懂。
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…
1093
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
