Linux系统安全审核功能

系统安全审核功能

《Linux系统自动化运维》清华大学出版社

审核就是把与系统安全有关的动作记录下来，它是Linux系统安全体系的、基于“被动”防御体系的重要安全组成部分，也是内嵌在内核中的一个安全模块。本节将通过审核系统功能、审核系统的用户和内核空间这三个部分来解释它如何记录系统的事件。
24.3.1 系统审核功能应用
审核系统提供了一种记录系统安全信息的方法，它为系统管理员在用户违反系统安全法则时提供及时的警告信息，使得管理员能够及时发现并处理系统中存在的安全问题。审核系统的审核信息包括可被审核的事件名称、事件状态（成功或失败）和安全信息等。
对于系统的审核模块，在它中的auditd是系统调用信息的一个用户态程序，通过它就可以对一些系统调用或文件目录进行监控。审核功能让系统内核具有了日志记录事件的能力，通过这些事件就确定系统可能存在的安全问题，可通过以下的方式来使用审核功能。
（1）配置审核功能。
（2）添加审核规则和观察器来收集所需的数据。
（3）启动守护进程，审核功能使用内核中的Linux Auditing System进行日志记录。
（4）通过生成审核报表和搜索日志来周期性地分析数据。
1.审核系统的架构概述
审核系统为追踪系统中与安全相关的信息提供了途径，基于预配置原则，审核将生成日志从而记录尽可能多在系统中发生的事件，这种记录信息方式对于执行关键任务系统显得非常重要，更多的信息能够确定那些违反安全策略的人以及他们所留下来的行为，以便更快的解决问题。
需要注意的是，审核不会为系统提供额外的安全保护，它是用来发现系统中违反安全策略的行为，而不是防止或阻止。
审核系统由用户空间（应用程序、实用程序）和内核空间（kernel-side系统调用处理）组成，内核空间的组件从用户空间的应用程序接受系统调用，并通过过滤器（user、task或exit）来筛选，一旦发现有系统调用通过其中的一个过滤器就将通过exclude过滤器进行传送，并把它传送给审核的守护程序做进一步的处理。如图24-1所示的是审核系统的架构图。
图24-1 审核系统的架构示意图
审核系统所记录的事件，涉及到系统的各个方面，总归结起来有其记录的事件主要包括以下的这几类。
 日期和时间类型，以及事件结果；
 事件关联与触发事件的用户身份；
 对审核系统配置的修改以及尝试访问审核；
 所有认证机制的服务，如SSH等；
 对于任何信任数据库的更改，如/etc/passwd、/etc/group；
 尝试把信息输入系统，或者从系统中输出信息；
 包含或者排除以用户身份、主题和对象标签以及其他属性为基础的事件；
2.审核功能配置文件
审核系统所要执行的某些动作，都可以通过对配置文件/etc/audit/auditd.conf来自定义，该文件支持自定义的内容包括如下：
 设置审核消息的专用日志文件。
 确定是否循环使用日志文件。
 日志文件占用的磁盘空间达到限定值时发出警告。
 配置审核规则记录更详细的信息。
 激活