auditd、bpftrace

auditd介绍

auditd=>(audit daemon) 是Linux审计系统中一个组件,负责将审计记录写入磁盘。

auditd下的一些工具
auditctl: 可以用来添加审计规则等。
aureport: 查看和生成审计报告的工具。
ausearch: 查找审计事件的工具
auditspd: 转发事件通知给其他应用程序,不写入到审计日志文件。
autrace: 一个用于跟踪进程的命令。
/etc/audit/auditd.conf: auditd工具的配置文件。
/etc/audit/audit.rules: 记录审计规则的文件。

auditd工具安装apt install auditd


基本使用

查看当前审计规则 sudo auditctl -l

为passwd文件添加审计 sudo auditctl -w /etc/passwd -p rwxa
-w 路径;-p权限

为/lab/目录添加审计 sudo auditctl -w /lab/

调出对passwd文件的审计信息 sudo ausearch -f /etc/passwd

调出对/lab/目录的审计信息 sudo ausearch -f /lab/

当使用ls /lab/命令后,再查看审计信息就可以看到结果。

查看审计报告总体信息 sudo aureport

查看每次操作信息 sudo aureport -au


auditd审核配置

想要审核永久化,需要编辑/etc/audit/rules.d/audit.rules
在最后一行添加sudo auditctl -l的结果
重启service auditd restart


Bpftrace介绍

Bpftrace(Berkeley Packet Filter trace) 是Linux的新开源 跟踪程序,用于分析生产性能问题和故障排除软件,bpftrace 提供了一种快速利用eBPF实现动态追踪的方法。可以利用它进行内核动态跟踪。

eBPF是一个无需更改内核源代码或加载内核模块实现监视功能的软件。

Linux是一个事件驱动的系统设计,所以对于任何事件的发生,理论上都可以对其进行追踪。
动态追踪都是通过探针的机制,依赖于在追踪点实现的探针(probe),进而获取相应的追踪数据。


内核探针

bpftrace在实现内核行为追踪时使用的探针主要包括内核动态探针(Kprobes)内核静态探针(Tracepoints) 两种。


内核动态探针

内核动态探针可以分为两种:kprobes 和 kretprobes。

Kprobes通常在内核函数执行前插入eBPF程序,kprobes类型的探针用于跟踪内核函数调用。
而kretprobes则在内核函数执行完毕返回之后,插入相应的eBPF程序。

查看当前版本内核所支持的Kprobes探针列表 bpftrace -l 'kprobe:*'


内核静态探针
Tracepoints是在内核代码中所做的一种静态标记,是开发者在内核源代码中散落的一些hook。

查看当前版本内核所支持的Tracepoints探针列表 bpftrace -l 'tracepoint:*'


Kprobes有较强的版本依赖性,而Tracepoints有着更稳定的应用程序编程接口。


  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

H4ppyD0g

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值