Linux安全体系学习笔记之一:Linux日志系统与审计系统
2011-12-25 15:02
615 查看
最近在读倪继利的《Linux安全体系分析与编程》,想把一些笔记发出来,这是第一篇。
Linux的日志系统主要就是syslog系统构架,其实现是内核函数printk将消息写入一个环形缓冲区中,供高层的sys_syslog系统调用读取。代码部分在linux/kernel/printk.c
Linux的审核系统提供了一种记录系统安全信息的方法,为系统管理员在用户违反系统安全规则时提供及时的警告信息。内核其他线程通过内核审计API写入套接字缓冲区队列audit_skb_queue中,内核线程kauditd通过netlink机制将审计消息定向发送给用户控件的审计后台auditd的主线程,auditd主线程再通过事件队列将审计消息传给审计后台的写log文件线程,写入log文件。另一方面,审计后台还通过一个与套接字绑定的管道将审计消息发送给dispatcher应用程序。代码部分主要在 linux/kernel/audit.c
auditd在Debian里默认没有安装启动,需要通过aptitude install auditd开启。
Linux的日志系统主要就是syslog系统构架,其实现是内核函数printk将消息写入一个环形缓冲区中,供高层的sys_syslog系统调用读取。代码部分在linux/kernel/printk.c
Linux的审核系统提供了一种记录系统安全信息的方法,为系统管理员在用户违反系统安全规则时提供及时的警告信息。内核其他线程通过内核审计API写入套接字缓冲区队列audit_skb_queue中,内核线程kauditd通过netlink机制将审计消息定向发送给用户控件的审计后台auditd的主线程,auditd主线程再通过事件队列将审计消息传给审计后台的写log文件线程,写入log文件。另一方面,审计后台还通过一个与套接字绑定的管道将审计消息发送给dispatcher应用程序。代码部分主要在 linux/kernel/audit.c
auditd在Debian里默认没有安装启动,需要通过aptitude install auditd开启。
相关文章推荐
- Linux初级学习之系统日志 第十章学习笔记
- Linux安全体系学习笔记之三:OpenSSL源代码分析(2)
- Linux运维学习笔记-文件系统知识体系总结
- Linux运维学习笔记之四:安装后的基本调优及安全设置(系统基础优化)
- Linux安全体系学习笔记之二:OpenSSL源代码分析(1)
- Linux安全体系学习笔记之四:OpenSSL源代码分析(3)
- Linux 学习笔记(十)系统日志
- Linux&C语言文件学习笔记(三):文件I/O与系统API
- Linux学习笔记之网络通信命令、系统关机、sehll应用技巧....
- Linux系统启动流程学习笔记
- Linux 基础学习篇10(系统日志服务)
- linux学习笔记: 系统服务介绍
- Linux学习笔记之系统简介
- 【安全牛学习笔记】答疑(Conky、Goagent、Linux4.4内核发布),手动漏洞挖掘
- Linux 学习笔记(五)文件系统
- Linux系统学习笔记:文件描述符标志
- 信息安全系统设计基础 第11周学习笔记
- [学习笔记——Linux]Linux文件与文件系统的压缩与打包
- linux学习之路之DNS视图及为DNS创建日志系统