Linux平台的审计系统对于普通用户来说可能比较陌生,但对于从事信息安全或系统安全的人来说是很重要的,它就像一套监控系统一样,可以记录下操作系统的每一个过程,例如用户的操作,文件的修改,系统的启动和异常以及网络活动等,这些记录都可以让你知道系统发生过什么,可以进一步了解系统安全漏洞所在,是提高系统安全性的有效支持。
审计子系统产生的背景
在早期的Linux操作系统只有syslog服务来记录系统的日志,它是由每个应用程序及内核自主提供一些信息,这就造成了每个应用的日志格式参差不齐,多少不一,难以得到有效的利用,而且它更多的是基于系统异常情况的收集,没有必要记录每个过程细节的信息。另一方面syslog作为应用层的进程,最大的局限性是对内核中发生的事件一无所知。
后来,为了实现对整个系统过程的掌控,另一方面,为了提高系统安全性的前提就是看清系统发生了什么,用户做过什么,甚至是黑客入侵时,能让他留下必要的痕迹。
为了达成这个目的,补充syslog的日志功能,在syslog的基础上扩展实现了审计子系统。
审计子系统能做什么?
审计在原syslog的基础上,增强了对系统所有活动的监控能力,主要表现在下面几个方面:
- 记录用户操作,将系统进程与用户关联起来,能查看用户启动过哪些进程,以及做了哪些操作等活动记录。
- 形成审计报告,基于系统产生的审计日志,进一步数据分析总结,形成易于阅读的报告格式,为系统安全提供数据支持。
- 能审计特殊的事件过程,比如非法登录,非法操作、网络连接等细节信息