Analysis of the Linux Audit System Components

简介：
本文章分析了Linux审计系统组件的工作原理和功能，并探讨其在安全监控中的应用。 1. 引言 1.1 动机与目标 . . . . . . . . . . . . . . . 1 1.2 报告结构概述 ... 2 2 背景信息 2.1 操作系统审计机制的重要性 ... 3 2.2 系统审计需求 ... 4 2.3 Linux 审计系统 ... 8 2.4 可供增强的Linux 审计系统的功能 . . . . . .10 2.5 总结 .. 12 3 Linux审计系统介绍 3.1 内核审计功能 ... 13 3.2 用户空间审计功能 ... 18 3.3 SELinux的集成 . . . . . . 23 3.4 总结 .. 24 4 Linux 审计系统特性分析 4.1 需要审核的事件 ... 25 4.2 审核记录的内容 ... 27 4.3 审核记录生成 . . . 28 4.4 时间同步 .. 28 4.5 日志访问以进行审核 ... 29 4.6 防止审计数据丢失 ... 30 4.7 审计日志的保护 . . . 30 4.8 结论 .. 31 5 Linux 审计系统的攻击 5.1 悄悄禁用Linux审计系统 ... 33 5.2 修改审核记录 ... 39 5.3 结论 . . . 40 6 提高Linux审计系统的性能 6.1 验证用户空间程序的身份 ... 43 6.2 审计状态的保护 .. 45 6.3 审核记录的完整性 ... 49 6.4 结论 . . . 50 7 总结