linux audit 源码分析,Linux安全审计机制模块实现分析(13)-核心文件之一audit.c核心代码注释...

最新推荐文章于 2024-07-25 14:24:00 发布

weixin_39927623

最新推荐文章于 2024-07-25 14:24:00 发布

阅读量554

点赞数

文章标签： linux audit 源码分析

本文详细分析了Linux安全审计模块的核心文件audit.c的代码，包括审计缓冲区的创建、审计消息的格式化与发送，以及审计配置变化的处理。重点讲解了审计缓冲区的分配、审计消息限制及速率控制等关键功能。

摘要由CSDN通过智能技术生成

原标题：Linux安全审计机制模块实现分析(13)-核心文件之一audit.c核心代码注释

2.4.1.6核心代码注释

//创建一个审计缓冲区，存放类型为type的审计消息

struct audit_buffer *audit_log_start(struct audit_context *ctx, gfp_t gfp_mask,int type)

{

struct audit_buffer*ab= NULL;

struct timespect;

unsigned intuninitialized_var(serial);

int reserve;

unsigned long timeout_start = jiffies;

if (audit_initialized != AUDIT_INITIALIZED) //审计系统未初始化

return NULL;

if (unlikely(audit_filter_type(type))) //要存放的审计消息是否type类型上某条规则不允许的？

return NULL;

if (gfp_mask & __GFP_WAIT)

reserve = 0;

else

reserve = 5; /* 允许调用存放超出消息数上限的5个消息*/

//套接字缓冲区队列中存放的消息数已达上限，并且预留的缓冲区也用完了

while (audit_backlog_limit && skb_queue_len(&audit_skb_queue) > audit_backlog_limit + reserve) {

if (gfp_mask &

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

weixin_39927623

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫

SELinux零知识学习四、Audit应用层源码下载、编译和安装

phmatthaus的专栏

03-31

953

SELinux零知识学习四、Audit应用层源码下载、编译和安装

网络安全从入门到精通（特别篇I）：Linux安全事件应急响应之Linux应急响应基础必备技能

HACKONE的博客

04-10

158

awk 首先将每条日志中的IP抓出来，如日志格式被自定义过，可以 -F 定义分隔符和 print指定列；

参与评论您还未登录，请先登录后发表或查看评论

linux audit 源码分析,audit初探

weixin_30746095的博客

05-12

855

0×00：最近工作中学习了一个比较实用的系统服务：audit。下面进行一些使用介绍。audit 是Linux audit Subsystem 的简称。这一服务的主要作用是记录系统调用和文件访问。auditd 是audit 系统的守护进程，作用是将audit 记录的信息写到磁盘上。合理配置audit 日志审计规则，对安全运维大有帮助。当系统被入侵后，可以通过查看audit.log 追根溯源，找到系统...

linux audit 源码分析,audit-1.7.18.tar linux下的audit模块的源代码 - 下载 - 搜珍网

weixin_33026363的博客

05-12

507

audit-1.7.18/audit-1.7.18/config.h.inaudit-1.7.18/THANKSaudit-1.7.18/configureaudit-1.7.18/auparse/audit-1.7.18/auparse/nvpair.caudit-1.7.18/auparse/auparse-defs.haudit-1.7.18/auparse/ellist.caudit-1....

audit审计超详细介绍，常见审计规则示例，与syslog、secure对比

最新发布

ayychiguoguo的博客

07-25

1399

Audit（审计）在Linux系统中，特别是CentOS中，是一个用于监控和记录系统上各种操作的技术手段。Audit的主要功能是为系统管理员提供一个跟踪系统上与安全相关信息的方法。根据预配置的规则，Audit会生成日志条目，以尽可能多地记录系统上所发生的事件的相关信息。① Audit主要由以下几个部分组成：auditd：Audit守护进程负责把内核产生的信息写入到硬盘上，这些信息由应用程序和系统活动触发产生。

audit

03-17

奥迪该项目是我去年和btsnir的最终项目

Linux audit 日志审计服务安装及使用

01-12

Linux auditd 工具可以将审计记录写入日志文件。包括记录系统调用和文件访问。管理员可以检查这些日志，确定是否存在安全漏洞。

Linux内核--进程管理(四)进程的核心—task_truct

文艺小少年的博客

01-03

929

在 Linux 里面，无论是进程，还是线程，到了内核里面，我们统一都叫任务（Task），由一个统一的结构 task_struct 进行管理。这个结构非常复杂，本文将细细分析task_struct结构。主要分析顺序会按照该架构体中的成员变量和函数的作用进行分类

Linux动态库加载函数dlopen源码梳理(二)

SweeNeil

11-05

6111

在https://blog.csdn.net/SweeNeil/article/details/83744843 中大概梳理了整个流程，还有_dl_map_object_from_fd()，以及link_map结构没有进行分析，在这里对这两部分进行分析由于_dl_map_object_from_fd()比较长，整个函数的代码就放到最后作为附录，前面部分来一点点进行梳理。一、_dl_map...

linux公共基础-初阶

HEIKENZ的博客

11-08

2300

Linux Public Basics公共基础备注1：20161108 15:54，系统学习过之后上述列出的内容就不再显得生疏。建议先了解目录树和 Linux文件系统层次化标准（Linux FileSystem Hierarchy Standard（FHS）），然后再系统学习相应系统操作命令（关于应用服务的搭建可以在学习基础操作命令后就开始）。（个人是先学习少数常用系统基础的操作命令，然后

linux审计某个进程,Linux安全审计机制模块实现分析(12)-核心文件之一audit.c补充...

weixin_33218578的博客

04-30

428

原标题：Linux安全审计机制模块实现分析(12)-核心文件之一audit.c补充2.4.1.2主要变量及宏定义intaudit_enabled; //审计系统是否已开启的标志int audit_pid; //审计后台进程auditd的pidstatic intaudit_backlog_limit = 64; //审计缓冲区中的最大消息数static intaudit_backlog_wait_...

audit交叉编译

weixin_43405004的博客

11-05

701

交叉编译

20210428瑞芯微RK3399在Android10下配置摄像头OV13850

南岭笑笑生之家

04-28

3104

20210428瑞芯微RK3399在Android10下配置摄像头OV13850 2021/4/28 17:16 开发板：天启（t-firefly）AIO-3399J https://www.t-firefly.com/doc/download/31.html SDK：版本号Android10.0 配件： MIPI摄像头OV13850 USB摄像头：罗技（Logitech）C930c高清网络摄像头 1080P视频通话往上拉：图片 Camera 图片 Remember photo l

note_2020_4

RTFSC_ALAN的博客

03-28

1352

摄像头的一些基础知识: 逆光是一种由于被摄主体恰好处于光源和照相机之间的状况，这种状况极易造成使被摄主体曝光不充分。高通平台打开更多的camera相关log: adb root adb remount adb shell setprop persist.camera.hal.debug 5 -> persist.vendor.camera.hal.debug adb shell setprop persist.camera.mci.debug 5 ->没搜索到 adb shell setpr

linux开启安全审计功能,Linux操作系统之安全审计功能

热门推荐

weixin_28932089的博客

05-15

1万+

内核编译时，一般打开NET选项就打开AUDIT选项了。在系统中查看audit是否打开，root 用户执行：service auditd status我们知道在Linux系统中有大量的日志文件可以用于查看应用程序的各种信息，但是对于用户的操作行为(如某用户修改删除了某文件)却无法通过这些日志文件来查看，如果我们想实现监管企业员工的操作行为就需要开启审计功能，也就是auditd。1、首先执行以下命令开...

Linux安全审计机制模块,Linux安全审计机制模块实现分析(14)-核心文件之二auditfilter.c文件描述及具体变量、函数定义...

weixin_39633781的博客

05-13

132

原标题：Linux安全审计机制模块实现分析(14)-核心文件之二auditfilter.c文件描述及具体变量、函数定义2.4.2文件二 auditfilter.c2.4.2.1 文件描述kernel/auditfilter.cstatic struct audit_entry *audit_rule_to_entry(struct audit_rule *rule)功能：把用户空间的规则转换为内核...

linux审计子系统：内核层执行原理

大昱的博客

10-27

1724

linux审计子系统用于记录内核部分子模块及应用层(应用程序)的运行状态，如文件系统、进程、systemd应用的执行进展、遇到的问题等信息。审计子系统通过netlink与auditd应用建立kernel audit直接的通信，并通过auditd把信息写入/var/log/audit/audit.log文件(默认地址，可以设置)。 linux审计子系统内核部分设计相对较为简单，甚至内核文档都没有找到关于它的单独描述(只找到了它的函数定义描述)。

Linux报错audit: backlog limit exceeded

Borny鼎鼎的博客

08-01

1617

Linux ssh连接不上，ping、telnet都是通的，输入dmesg -T命令或登录界面均提示audit: backlog limit exceeded。原因是audit服务在繁忙的系统中进行审计事件操作，缓冲区存在瓶颈，导致系统接近崩溃。查看auditd服务状态，service auditd status。重启auditd服务，service auditd restart。将backlog_limit值由320修改为8192。查看配置，auditctl -s。

Linux内核安全审计模块设计与实现：防范与监控策略

具体来说，作者设计并实现了Linux内核安全审计模块(Linux Kernel Security Audit Module, LKSAM)，这个模块能够记录用户的操作行为，检测潜在的安全威胁，并提供日志记录和报告，有助于管理员识别异常活动和预防安全...