Linux平臺的審計系統對於普通用戶來說可能比較陌生,但對於從事信息安全或系統安全的人來說是很重要的,它就像一套監控系統一樣,可以記錄下操作系統的每一個過程,例如用戶的操作,文件的修改,系統的啓動和異常以及網絡活動等,這些記錄都可以讓你知道系統發生過什麼,可以進一步瞭解系統安全漏洞所在,是提高系統安全性的有效支持。
審計子系統產生的背景
在早期的Linux操作系統只有syslog服務來記錄系統的日誌,它是由每個應用程序及內核自主提供一些信息,這就造成了每個應用的日誌格式參差不齊,多少不一,難以得到有效的利用,而且它更多的是基於系統異常情況的收集,沒有必要記錄每個過程細節的信息。另一方面syslog作爲應用層的進程,最大的侷限性是對內核中發生的事件一無所知。
後來,爲了實現對整個系統過程的掌控,另一方面,爲了提高系統安全性的前提就是看清系統發生了什麼,用戶做過什麼,甚至是黑客入侵時,能讓他留下必要的痕跡。
爲了達成這個目的,補充syslog的日誌功能,在syslog的基礎上擴展實現了審計子系統。
審計子系統能做什麼?
審計在原syslog的基礎上,增強了對系統所有活動的監控能力,主要表現在下面幾個方面:
- 記錄用戶操作,將系統進程與用戶關聯起來,能查看用戶啓動過哪些進程,以及做了哪些操作等活動記錄。
- 形成審計報告,基於系統產生的審計日誌,進一步數據分析總結,形成易於閱讀的報告格式,爲系統安全提供數據支持。
- 能審計特殊的事件過程,比如非法登錄,非法操作、網絡連接等細節信息,找到必要的證據。
- 通過審計工具,可以過濾審計日誌,更方便關注於重點事件,可以過濾下面常見類型
- User
- Group
- Audit ID
- Remote Host Name
- Remote Host Address
- System Call
- System Call Arguments
- File
- File Operations
- Success or Failure
- 應用選擇性的審計,通過篩選感興趣的事件,組成自己的一個審計規則,形成專門的審計報告內容
- 保證報告數據的可用性,一般審計報告都是高權限的,只能由指定的用戶才能移除,未授權的用戶不能刪除,甚至不能查看審計日誌
- 防止審計數據丟失,有時爲了保證系統安全性,比如在系統內存不足,難以正常運行時,此時審計守護進程的活動也被限制了,此時會觸發系統關閉,以防止事件逃脫審計的管控(防止非法用戶毀滅證據)
審計子系統的特點
1. 審計子系統本身並不會在基礎架構的層面增強系統的安全,不能抵禦黑客的入侵,
2. 提供了一種方式來度量或分析系統發生了什麼,它的最大價值在於能跟蹤記錄系統的活動,爲其它安全框架提供有效的支持。內核中的審計模塊,能滲透到每個進程以及系統調用的每個細節,
3. 審計子系統並不是孤立的,它以syslog日誌子系統爲基礎,它本身的安全性由其它安全框架來保證。
審計子系統的設計目標
審計子系統更像是現有公安系統的天眼系統,遍佈全國各地,我們看到的是大小路口的攝像頭,背後是高速的網絡、大數據、雲計算、AI圖像識別等組成了一個智能的監控體系。在這個系統支持下,可以讓一個逃犯無處遁形,想定位一個人也是分分鐘的事。
審計子系統基於Syslog日誌子系統,主要設計目標有以下幾個方面:
- 可以記錄每個系統進程的每個細節過程,包括用戶空間和內核空間,以及從創建到銷燬的整個生命週期。
- 對於"監控"過程支持自定義規則,支持按類型進行過濾等
- 審計過程需要有權限保護,日誌能安全地保存在磁盤上,以便事後分析溯源。
參考 : https://www.cnblogs.com/liquan2005/p/9226116.html