一、Linux用戶空間審計系統(tǒng)簡介

Linux內(nèi)核有用日志記錄事件的能力，比如記錄系統(tǒng)調用和文件訪問。然后管理員可以評審這些日志，確定可能存在的安全漏洞，比如失敗的登錄嘗試，或者用戶對系統(tǒng)文件不成功的訪問。這種功能稱為Linux用戶空間審計系統(tǒng)，在Red Hat Enterprise Linux 5及其之后版本中已經(jīng)直接可用。當然老版本的Linux 也可以手工添加軟件使用。Linux在用戶空間審計系統(tǒng)由auditd、audispd、auditctl、autrace、ausearch和aureport等應用程序組成。審計后臺auditd應用程序通過netlink機制從內(nèi)核中接收審計消息，然后通過一個工作線程將審計消息寫入到審計日志文件中，Linux的審核系統(tǒng)提供了一種記錄系統(tǒng)安全信息的方法，為系統(tǒng)管理員在用戶違反系統(tǒng)安全規(guī)則時提供及時的警告信息。內(nèi)核其他線程通過內(nèi)核審計API寫入套接字緩沖區(qū)隊列audit_skb_queue中，內(nèi)核線程kauditd通過netlink機制將審計消息定向發(fā)送給用戶控件的審計后臺auditd的主線程，auditd主線程再通過事件隊列將審計消息傳給審計后臺的寫log文件線程，寫入log文件。另一方面，審計后臺還通過一個與套接字綁定的管道將審計消息發(fā)送給dispatcher應用程序。圖1是Linux audit架構示意圖 。

圖1 Linux audit架構示意圖

圖1的實線代表數(shù)據(jù)流，虛線代表組件關之間的控制關系 。

auditd ：audit 守護進程負負責把內(nèi)核產(chǎn)生的信息寫入到硬盤上，這些信息是由應用程序和系統(tǒng)活動所觸發(fā)產(chǎn)生的。audit守護進程如何啟動取決于它的配置文件，/etc /sysconfig/auditd。audit系統(tǒng)函數(shù)的啟動受文件/etc/audit/auditd.conf的控制。在用戶空間審計系統(tǒng)通過auditd后臺進程接收內(nèi)核審計系統(tǒng)傳送來的審計信息，將信息寫入到/var/log/audit/audit.log 中，audit.log的路徑可在/etc/auditd.conf 中指定。當auditd沒有運行時，內(nèi)核將審計信息傳送給 syslog，這些消息通常保存在/var/log/messages文件中，可以用dmesg命令查看。

auditctl：auditctl功能用來控制audit系統(tǒng)，它控制著生成日志的各種變量，以及內(nèi)核審計的各種接口，還有決定跟蹤哪些事件的規(guī)則。

audit.rules：在/etc/audit/audit.rules中包含了一連串a(chǎn)uditctl命令，這些命令在audit系統(tǒng)被啟用的時候被立即加載。

aureport：aureport的功能是能夠從審計日志里面提取并產(chǎn)生一個個性化的報告，這些日志報告很容易被腳本化，并能應用于各種應用程序之中，如去描述結果。

ausearch ： ausearch用于查詢審計后臺的日志，它能基于不同搜索規(guī)則的事件查詢審計后臺日志。每個系統(tǒng)調用進入內(nèi)核空間運行時有個唯一的事件id，系統(tǒng)調用在進入內(nèi)核后的運行過程的審計事件共享這個id。

audispd：audispd是消息分發(fā)的后臺進程，用于將auditd后臺發(fā)過來的一些消息通過syslog寫入日志系統(tǒng)。這是一個審計調度進程，它可以為將審計的信息轉發(fā)給其它應用程序，而不是只能將審計日志寫入硬盤上的審計日志文件之中。

autrace這個功能更總類似于strace，跟蹤某一個進程，并將跟蹤的結果寫入日志文件之中。

要使用安全審計系統(tǒng)可采用下面的步驟：

●  安裝軟件包

● 了解配置文件

●  了解配置命令

●  添加審計規(guī)則和觀察器來收集所需的數(shù)據(jù)

● 啟用了內(nèi)核中的audit并開始進行日志記錄

●  通過生成審計報表和搜索日志來周期性地分析數(shù)據(jù)#p#

 二、 安裝軟件包并且配置審計守護進程

 1 安裝軟件包

要使用auditd和實用程序來生成日志文件報表，必須安裝audit RPM程序包 

#yum install audit

audit也可以從源碼安裝，源碼下載地址:http://people.redhat.com/sgrubb/audit/

2 了解audit配置文件

（1） audit配置文件簡介

audit是系統(tǒng)中的一個服務。是Linux audit Subsystem 的縮寫。這一服務用來審計系統(tǒng)調用的紀錄，并把記錄寫入文件當中。auditd是audit系統(tǒng)的用戶空間程序，主要作用是將audit記錄信息寫到磁盤上。audit安裝后,會生成2個文件.audit在啟動時會讀取2個配置文件:/etc/audit/auditd.conf  和/etc/audit/audit.rules  。相關文件的位置：

/etc/audit/audit.conf 守護程序的默認配置文件

/etc/audit/audit.rules 守護程序默認的過濾文件

auditd使用方法:

auditd [ -f ]

-f  auditd在前臺運行,調試時使用.

（2） /etc/audit/audit.conf文件詳解

/etc/audit/audit.conf守護程序的默認配置文件是Linux安全審計系統(tǒng)最關鍵文件。/etc/audit/audit.conf文件包括如下幾個部分：

● 設置審計消息的專用日志文件

● 確定是否循環(huán)使用日志文件

● 如果日志文件的啟動用掉了太多磁盤空間則發(fā)出警告

● 配置審計規(guī)則記錄更詳細的信息

● 激活文件和目錄觀察器

　　這些設置值及更多設置值位于/etc/audit/auditd.conf文件中，它包含修改審計守護進程的行為的選項。每個選項均應在獨立的一行上，后面跟著等于號(=)和這個選項的值。/etc/audit.audit.rules中的每個規(guī)則和觀察器必須單獨在一行中，以#開頭的行會被忽略。規(guī)則和觀察器是auditctl命令行選項，前面沒有auditctl命令。它們從上到下閱讀文件。如果一個或多個規(guī)則或觀察器互相沖突，則使用找到的第一個。auditd.conf的選項說明如表1所示。

表1 auditd.conf的選項和說明

說明：　　/etc/sysconfig/auditd文件可以用來設置帶EXTRAOPTIONS參數(shù)的auditd的命令行選項。唯一的命令行選項-f以調試模式安排守護進程。如果啟用了調試模式，則會出現(xiàn)標準錯誤消息而不是日志文件。AUDITD_LANG設置值可以用來修改守護進程的位置。如果設置為none，則所有位置信息會從審計環(huán)境中刪除。如果AUDITD_CLEAN _STOP選項設置為yes，則當用service auditd stop命令停止守護進程時，會刪除審計規(guī)則與觀察器。

（3）審計規(guī)則文件/etc/audit/audit.rules

要添加審計規(guī)則，可在/etc/audit/audit.rules文件中用下面的語法：

 -a <list>,<action> <options>

以下在 CentOS 6 下的 audit.rules 下配置，請根據(jù)不同的環(huán)境進行修改。

添加基本的審計配置參數(shù)

-D

-b 8192

-f 1

-e 1

添加 audit 日志文件和配置文件的審計

-w /var/log/audit/

-w /etc/audit/auditd.conf -p rxwa

-w /etc/audit/audit.rules -p rxwa

-w /etc/passwd -p rwxa

-w /etc/sysconfig/

注意：監(jiān)控系統(tǒng)調用可能會引起高負荷的日志活動，這會讓內(nèi)核承受更大的負荷。所以要慎重衡量哪些系統(tǒng)調用需要放到 audit.rules 中。如果審計的是目錄的話，只能對該目錄本身的屬性進行審計，也就是諸如擁有者，目錄權限之類的進行審計，并不能審計目錄下面的文件。如果想審計下面的文件，需要一一列出。另外不支持通配符/正則。

監(jiān)控其他的系統(tǒng)調用

-a entry,always -F arch=b64 -S clone -S fork -S vfork

-a entry,always -S umask

-a entry,always -S adjtimex -S settimeofday

以上的都設置完畢了，就可以生成各種報告了。

（4） 啟動auditd守護進程

#service auditd start

如果在守護進程運行時您添加了觀察器/etc/audit/audit.rules，則一定要以根用戶身份用service auditd restart命令啟用修改。也可以用service auditd reload命令，但是它不會通知您關于配置文件錯誤的消息。

要使它自動在運行時啟動，則應作為根用戶執(zhí)行命令：

chkconfig auditd on

要停止它，可使用service auditd stop命令，要驗證規(guī)則與觀察器已經(jīng)修改，應以根用戶身份執(zhí)行auditctl -1命令列出所有活動的規(guī)則和觀察器。

auditctl -1#p#

三、用戶空間審計系統(tǒng)的使用實例

1 auditctl命令實例：

auditctl用于對kernel中的audit進行控制,可以用來獲取audit狀態(tài)和增刪audit規(guī)則。auditctl命令控制行為、得到狀態(tài)、從內(nèi)核審計系統(tǒng)增加或刪除規(guī)則。命令格式如下：

auditctl [options]

auditctl的命令行選項（options）很多，例如：

-e [0|1]表示停止或啟動內(nèi)核審計功能；-a表示將規(guī)則追加到鏈表；-S表示系統(tǒng)調用號或名字；-F表示規(guī)則域。-w表示為文件系統(tǒng)對象<path>插入一個watch（監(jiān)視）。-p 表示設置文件權限。-k key 表示設置審計規(guī)則上的過濾關鍵詞key，key是不超過32字節(jié)長的任意字符串，它能唯一鑒別由watch產(chǎn)生的審計記錄 。-D 表示刪除所有的規(guī)則和watch 。-s 表示報告狀態(tài) 。

下面是幾個例子：

先查看audit運行狀態(tài)

# auditctl -s

AUDIT_STATUS: enabled=1 flag=1 pid=1585 rate_limit=0 backlog_limit=256 lost=0 backlog=0

通過enabled flag  rate_limit backlog_limit lost backlog參數(shù)可以得知audit運行狀態(tài)是否正常。

從 auditctl 命令參數(shù)可以看到

enabled值為 [0|1]   啟用/禁用audit審核.

flag值為  [0.1.2] 設置失敗標記的等級,有0,1,2三個值,0是不輸出日志,1為輸出printk日志,2為最高級,會大量輸出日志信息。這個選項用于設置audit獲得錯誤的等級.默認值為1.在安全環(huán)境下可以設置為2 。

查看已有的audit規(guī)則

# auditctl -l

添加一條audit規(guī)則,記錄maj用戶的所用open系統(tǒng)調用

# auditctl -a entry,always -S open -F uid=500

open表示：要查看某一特定用戶打開的文件

在另一個終端以maj用戶登錄,登錄后執(zhí)行一個ls命令即可

刪除這條audit規(guī)則

# auditctl -d entry,always -S open -F uid=500

如不想看到用戶登陸類型的消息，可以如下添加規(guī)則： 
#auditctl -a exclude,always -F msgtype=USER_LOGIN 
這里過濾是以“消息類型”為對象的。

監(jiān)視/etc/passwd文件被讀、寫、執(zhí)行、修改文件屬性的操作記錄 
#auditctl -w /etc/passwd -p rwax

查看程序所有的系統(tǒng)調用

#auditctl -a entry,always -S all -F pid=1005

查看指定用戶打開的文件

#auditctl -a exit,always -S open -F auid=510

查看不成功的open系統(tǒng)調用

auditctl -a exit,always -S open -F success!=0

設置規(guī)則和顯示規(guī)則的命令樣例列出如下：

#auditctl -a entry,always -S all -F pid=1005

#auditctl -l

LIST_RULES: entry,always pid=1005 (0x3ed) syscall=all

查看audit日志文件：

#cat /var/log/audit/audit.log

2 使用aureport 生成報表

要生成審計消息的報表，可使用aureport。為了安全起見/var/log/audit/目錄和其中的所有審計日志文件只對根用戶可讀。因此必須作為根用戶執(zhí)行aureport命令。aureport 命令格式：

aureport [選項]

主要選項：

-a 報告關于訪問向量緩沖(access vector cache，AVC)的消息

-c報告關于配置修改的消息

-cr報告關于crypto事件的消息

-e報告關于事件的消息

-f報告關于文件的消息

-h報告關于主機的消息

-l報告關于登錄的消息

-m報告關于賬戶修改的消息

-ma報告關于Mandatory Access Control(MAC)事件的消息

-p報告關于進程的消息

-s報告關于系統(tǒng)調用的消息

-tm報告關于終端的消息

如果執(zhí)行aureport時沒有使用任何選項，則會顯示如匯總報表。

要顯示每個日志的啟動和停止時間，可以添加-t選項：

aureport -<flag> -i -t

要僅顯示失敗事件，則使用- -failure，注意這個選項前面有兩條虛線而不是一條：

aureport -<flag> -i --failed

要僅顯示成功事件，則使用- -success，注意這個選項前面有兩條虛線而不是一條：

aureport -<flag> -i --success

要產(chǎn)生來自一個日志文件的報表而不是默認報表，則可用-if選項指定它：

aureport -<flag> -i -if /var/log/audit/audit.log.1

下面是一些實際的例子：

生成一段特定時間內(nèi)的報告
# aureport -ts 8:00 -te 17:30 -f -i

顯示失敗事件
# aureport –-failed

顯示成功事件
# aureport –-success

列出未被成功訪問的文件
# aureport -f -i –-failed --summary

還可以圖形化報告，下載如下腳本：
# wget http://people.redhat.com/sgrubb/audit/visualize/mkbar

#chmod +x mkbar
在rhel和 centos 上需要安裝 gnuplot 
# yum install gnuplot

生成整體的事件報告
# aureport -e -i --summary | /path/mkbar events

系統(tǒng)會生成一個圖像文件events.png如圖2 。

圖2 整體的事件報告圖像文件

生成文件事件報告
# aureport -f -i --summary | /path/mkbar files

生成登陸事件報告
# aureport -l -i --summary | /path/mkbar login

生成用戶事件報告
# aureport -u -i --summary | /path/mkbar users

生成系統(tǒng)調用事件報告
# aureport -s -i --summary | /path/mkbar syscalls

要了解不同 audit 對象之間的關系，比如用戶跟系統(tǒng)調用，可以使用 mkgraph 腳本

使用 mkgraph 要用到 graphviz請先配置好再使用：

# wget http://people.redhat.com/sgrubb/audit/visualize/mkgraph

##chmod +x mkgraph

例如users 和 executables關系

# aureport -u -i | awk '/^[0-9]/ { print $4" "$7 }' | sort | uniq | mkgraph users_vs_exec

審計守護進程將關于這些事件的日志消息寫到專門的日志文件中。然后可以用aureport和ausearch實用程序生成報表來找到失敗的系統(tǒng)調用，以確定誰在訪問文件以及訪問頻率如何，執(zhí)行程序是成功的還是失敗等。舉個安全管理的例子，如果使用aureport命令發(fā)現(xiàn)如下字段信息：

Number of logins: 111

Number of failed logins: 111

Number of authentications: 111

Number of failed authentications:111

表示111次登錄并且全部失敗, （我們知道一個正常用戶不可能連續(xù)登錄系統(tǒng)111次并且每次都失敗而且連續(xù)不斷）那么系統(tǒng)可能遭到暴力口令登錄 。

3 使用ausearch命令使用搜索記錄

ausearch的語法列出如下：

ausearch [ options ]

其中，options表示選項值，如：-a <audit event id>、-f <file name>等。

除了生成事件報表并用aureport匯總外，管理員也可以用ausearch搜索審計記錄。以根用戶身份執(zhí)行ausearch命令，當顯示結果時，每個記錄用4條虛線組成的一行隔開，每個記錄前均顯示時間標記。圖3 是ausearch -x su中的結果 。

圖3  ausearch -x su中的結果

設置 Keys 來管理審計事件記錄

假設你在 audit.rules 下加了如下的一條規(guī)則

-w /etc/audit/audit.rules -p wa

如果沒有 key，如果要查找 SYSCALL 或者 PATH 事件，你可能要使用 grep 等類似的工具才能過濾到你想要的內(nèi)容。使用 key 就能簡化上述的過程

-w /etc/audit/audit.rules -p wa -k CFG_audit.rules

-k 后面的內(nèi)容是你自己定義的?，F(xiàn)在要找特定的內(nèi)容就容易多了

# ausearch -k CFG_audit.rules

4 使用seaudit工具查看Linux 用戶空間審計系統(tǒng)信息

seaudit是SElinux故障診斷工具包（setools-gui）的組件。打開seaudit工具可以看到許多Linux 用戶空間審計系統(tǒng)信息，seaudit工具可以讀取/var/log/audit/audit.log，方法是從file菜單選擇“open  log “打開/var/log/audit/audit.log seaudit工作界面如圖4。

圖4使用seaudit工具查看Linux安全審計信息

使用seaudit工具也可以生成報表方法是從tools菜單選擇“Creat Report “如圖5 。

圖5 使用seaudit工具生成報表

可以使用瀏覽器查看生成的報表文件如圖6 。

圖6 使用瀏覽器查看生成的報表文件

總結：Linux提供了用來記錄系統(tǒng)安全信息的審計系統(tǒng)，審計系統(tǒng)分為用戶空間和內(nèi)核空間審計系統(tǒng)，用戶空間審計系統(tǒng)用來設置規(guī)則和審計系統(tǒng)狀態(tài)、將內(nèi)核審計系 統(tǒng)傳來的審計消息寫入log文件。內(nèi)核審計系統(tǒng)用于產(chǎn)生和過濾內(nèi)核的各種審計消息。本文重點介紹Linux用戶空間審計系統(tǒng)的使用。另外Linux用戶空間審計系統(tǒng)通常是和Selinux系統(tǒng)配合使用的 。