最近在讀倪繼利的《Linux安全體系分析與編程》,想把一些筆記發出來,這是第一篇。
Linux的日志系統主要就是syslog系統構架,其實現是內核函數printk將消息寫入一個環形緩沖區中,供高層的sys_syslog系統調用讀取。代碼部分在linux/kernel/printk.c
相關鏈接:http://lxr.linux.no/linux+v3.1.6/kernel/audit.c
Linux的審核系統提供了一種記錄系統安全信息的方法,為系統管理員在用戶違反系統安全規則時提供及時的警告信息。內核其他線程通過內核審計API寫入套接字緩沖區隊列audit_skb_queue中,內核線程kauditd通過netlink機制將審計消息定向發送給用戶控件的審計後台auditd的主線程,auditd主線程再通過事件隊列將審計消息傳給審計後台的寫log文件線程,寫入log文件。另一方面,審計後台還通過一個與套接字綁定的管道將審計消息發送給dispatcher應用程序。代碼部分主要在 linux/kernel/audit.c
auditd在Debian裡默認沒有安裝啟動,需要通過aptitude install auditd開啟。
《Linux安全體系分析與編程》部分章節下載見 http://www.linuxidc.com/Linux/2012-02/53191.htm
