linux审计原理,Linux安全审计机制模块实现分析(1)

最新推荐文章于 2023-05-12 01:15:00 发布
最新推荐文章于 2023-05-12 01:15:00 发布
阅读量414 收藏 1
点赞数
文章标签: linux审计原理

2详细分析

2.1模块功能描述

本模块包含以下几个子系统:

(1) 审计消息的生成和发送子系统;

(2) 审计消息过滤子系统;

(3) 审计系统初始化子系统;

(4) 进程审计子系统;

(5) 文件系统审计子系统。

第(1)个子系统的支撑函数是audit_log、audit_log_start、audit_log_format和audit_log_end,该部分的这几个函数,作为内核函数中的审计API在内核其它部分中广泛地被调用。

函数功能说明:

audit_log:产生一条审计记录。

Audit_log_start:申请审计缓冲区,如果任务当前在系统调用中,系统调用被标识为可审计的,并在系统调用退出时产生一条审计记录。

audit_log_format:格式化一个消息并放入审计缓冲区。

audit_log_end:将格式化好的netlink套接字缓冲区中的审计记录数据发送给用户空间的后台进程,如果审计后台进程存在,使用 netlink机制传输数据,由审计后台将套接字缓冲区中的审计记录数据写入审计文件audit.log中;如果审计后台不存在,使用 printk记录数据,然后由日志后台进程将数据写入到日志文件中。

第(2)个子系统的支撑函数是:audit_filter_user、audit_filter_type、audit_filter_user_rules、audit_receive_filter、audit_add_rule、audit_list_rules、audit_find_rule和audit_del_rule。

函数

最低0.47元/天 解锁文章
IGMIA
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux安全审计机制模块,Linux安全审计机制模块实现分析(17)-核心文件之三auditsc.c核心代码注释...
weixin_36071064的博客
05-13 214
原标题:Linux安全审计机制模块实现分析(17)-核心文件之三auditsc.c核心代码注释2.4.3.6核心代码注释//进入系统调用时,将一些必要的信息暂存到审计上下文。void __audit_syscall_entry(int arch, int major, unsigned long a1, unsigned long a2, unsigned long a3, unsigned lo...
linux审计原理,Linux操作行为审计
weixin_39945816的博客
05-13 255
一 使用[PROMPT_COMMAND]变量 实现审计操作行为功能【实现原理】在bash里设置环境变量PROMPT_COMMAND,这个命令会在用户提示符之前被执行,可以用来记录用户操作历史【实现步骤】1、创建行为审计日志文件touch/var/log/Command_history.log2、将日志文件的所有者改为权限低的用户NOBODYchownnobody:nobody/var/log/...
MySQL添加审计日志插件audit_log
weixin_44303218的博客
04-02 2583
MySQL5.7.32源码添加audit_log源码
MySQL审计插件- Audit Log
jinyoufu12345的博客
09-03 2553
一、插件介绍 二、插件安装 1.安装插件 2.查看插件 3.日志格式 三、插件的使用 1.开始审计 2.查看审计日志 四、审计种类 1.基于用户审计 2.基于命令审计 3.基于DB审计 一、插件介绍 Percona公司的官方介绍: Percona Audit Log Plugin provides monitoring and logging of connection and query activity that were performed on specific server. Informatio
linux 审计(auditd)原理分析
guoguangwu的专栏
08-18 6409
前面几篇博客说过可以使用auditctl 添加和删除规则等。 现在谈谈auditd的相关实现。基于 Linux2.6.11.12 这些代码主要在下面的文件中 kernel/audit.c 提供了核心的审计机制。 kernel/auditsc.c 实现了系统调用审计、过滤审计事件的机制。 用户可以使用应用程序auditctl向内核添加规则,内核检测到这些变动之后,会在进程创...
## linux 系统 auditlog 是什么?
深耕嵌入式领用多年, 致力于分享嵌入式领域技术!
05-12 1188
## linux 系统 auditlog 是什么?
AuditLog配置详解
zmj199536的博客
12-03 9061
介绍 auditLog采用Audit4j进行了简单的封装。 配置 在applicaton-.yml中添加auditLog的配置,配置参数如下: # auditLog配置 audit4j: db-handler: # auditLog记录时否分表. 对于业务不是很复杂的应用,一般设置成false即可 separate: false # 是否用内置的数据库记录.一般都是用自...
使用安全审计加强Linux主机的安全维护能力.docx
11-21
在学习本能力模块时,学生将能够独立完成和熟练把握实现主机安全审计的能力。通过学习,学生将明白审计对主机安全的重要性,并学习使用 psacct 程序对主机进行审计。 2. 学习要求 为了学习使用安全审计加强 Linux ...
基于Linux Shell的安全审计机制.pdf
09-06
该文件介绍了一个基于Linux Shell的安全审计机制,该机制通过使用可装入内核模块、/proc虚拟文件系统和系统调用劫持技术,实现了一个较全面的入侵检测审计机制。在该机制中,命令历史记录被用作审计信息的重要来源,...
Linux内核安全审计模块的研究及实现.pdf
09-06
Linux内核安全审计模块的研究及实现.pdf
Linux Shell安全审计机制的扩展.pdf
09-07
本文提出了使用系统调用劫持技术和 Linux 的可装入内核模块技术来实现 Linux Shell 安全审计机制的扩展。该机制可以记录所有经 exec 系统调用执行的命令,提供了时效的安全监测和入侵检测。 三、Linux 可装入内核...
Linux内核安全审计模块
01-20
Linux内核安全审计模块的研究及实现 很值得一读
Mysql5.6审计功能
Data & Analysis
02-20 643
1. 前言 为了安全和操作的可追溯性考虑,越来越多的公司加入了审计功能。mysql5.5推出了相关的审计功能,到5.6.20功能进一步完善,算是勉强可用了,虽然细粒度方面做的不是太好,但是后续版本还是可以期待一下的。这里主要介绍下相关的功能和特性。 2. 开启审计 2.1 配置文件加载 mysql5.6中的审计是通过audit_log插件来实现的,我们可以在配置文件中加载该插件来...
【AEM Daily】Audit Log
AEM
02-15 1232
在我们日常使用AEM Sites 和 AEM DAM的时候,经常会遇到类似以下这样的问题: Publish实例上的一个Active的页面,不知道什么时候被哪个用户Deactive了 Author上的一个还在编辑中,还没发布的页面,不知道什么时候被那个用户Delete了 Author上的某个资产或资产文件夹不知道什么时候被哪个用户给删除了 这个时候,相关的业务人员就会着急的找到IT人员求助,大...
审计日志(audit_log )文件过大
HighGO
08-03 3960
目录 环境 症状 问题原因 解决方案 环境 系统平台:N/A 版本:4.3.4,4.3.4.2,4.3.4.3,4.3.4.4,4.3.4.5,4.3.4.6,4.3.4.7 症状 数据库审计日志文件无限扩增,未启动自动清理机制,磁盘爆满导致数据库异常停止。 问题原因 原因是安全审计配置会影响磁盘空间的使用。 业务量大的时候,会生成大量审计日志,占用大量磁盘空间。 而磁盘空间较小时,很可能造成数据库故障。 默认情况下审计的范围是all,审计数据库所有的操作。审计的..
Linux内核审计日志audit_log,linux audit审计(4)--audit的日志切分,以及与rsyslog的切分协同使用...
weixin_39616961的博客
05-08 1136
audit的规则配置稍微不当,就会短时间内产生大量日志,所以这个规则配置一定要当心。当audit日志写满后,可以看到如下场景:-r-------- 1 root root 8388609 Mar 31 11:47 audit.log.997-r-------- 1 root root 8388780 Mar 31 11:47 audit.log.998-r-------- 1 root root ...
auditd审计syscall操作
skdouble的专栏
06-10 1522
title: auditd审计syscall操作 1.linux内核需要打开CONFIG_AUDIT和CONFIG_AUDITSYSCALL选项,系统启动时会运行内核任务kauditd 2.用户态通过安装auditd安装包,启动auditd服务来接收内核模块审计日志信息,记录到/var/log/audit/audit.log文件中 audit可以配置规则,这个规则是给内核模块下发的,内核kauditd模块会按照这个规则获取审计信息,发送给auditd来记录日志 规则类型可以分为: a、控制规则:控制au.
基于PHP开发的一套开源社交娱乐直播系统,包含IOS、Android和PC Web端,让你零成本拥有自己的直播平台。.zip
最新发布
06-14
该资源内项目源码是个人的课程设计、毕业设计,代码都测试ok,都是运行成功后才上传资源,答辩评审平均分达到96分,放心下载使用! ## 项目备注 1、该资源内项目代码都经过测试运行成功,功能ok的情况下才上传的,请放心下载使用! 2、本项目适合计算机相关专业(如计科、人工智能、通信工程、自动化、电子信息等)的在校学生、老师或者企业员工下载学习,也适合小白学习进阶,当然也可作为毕设项目、课程设计、作业、项目初期立项演示等。 3、如果基础还行,也可在此代码基础上进行修改,以实现其他功能,也可用于毕设、课设、作业等。 下载后请首先打开README.md文件(如有),仅供学习参考, 切勿用于商业用途。 该资源内项目源码是个人的课程设计,代码都测试ok,都是运行成功后才上传资源,答辩评审平均分达到96分,放心下载使用! ## 项目备注 1、该资源内项目代码都经过测试运行成功,功能ok的情况下才上传的,请放心下载使用! 2、本项目适合计算机相关专业(如计科、人工智能、通信工程、自动化、电子信息等)的在校学生、老师或者企业员工下载学习,也适合小白学习进阶,当然也可作为毕设项目、课程设计、作业、项目初期立项演示等。 3、如果基础还行,也可在此代码基础上进行修改,以实现其他功能,也可用于毕设、课设、作业等。 下载后请首先打开README.md文件(如有),仅供学习参考, 切勿用于商业用途。
简述linux安全机制
04-16
4. SELinux:SELinux(Security-Enhanced Linux)是Linux内核的一个安全模块,提供了强制访问控制(MAC)机制。它通过为每个进程和文件分配安全上下文,并定义了一组规则来限制进程对文件和资源的访问,增强了系统的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值