Pehelysúlyú auditáló keretrendszer

 ( trey | 2004. április 18., vasárnap - 12:30 )

Mint rendszergazda szorosabbra akarod fogni a gyeplőt? Kíváncsi vagy, hogy mi történik a kerneled és a user space programok közt? Meg akarod figyelni a rendszer hívásokat? Te akarsz lenni a Big Brother? Nesze!

Andrew Morton -mc fájában felbukkant egy érdekes, és nagyon hasznosnak tűnő patch. A patch Rik Faith munkája, ami nem más mint egy pehelysúlyú auditáló keretrendszer (lightweight auditing framework). A stuff célja, hogy különböző audit információkat biztosítson a user space-be anélkül, hogy lassítaná a rendszer működését.

Két kernel-oldali komponense van az audit kódnak. Az egyik (állandóan be van kapcsolva, a másikat ki lehet kapcsolni boot időben vagy futás időben) egy általános mechanizmus, amely audit rekordokat állít elő, és kommunikál az user space-szel. Az összes kommunikáció netlink socket-eken keresztül történik, és ez azt jelenti, hogy nem volt szükség a rendszerhez újabb rendszer hívásokat (syscalls) hozzáadni. Tulajdonképpen a működés a következő: a user space processz létrehoz egy NETLINK_AUDIT socketet, ráírja az audit_request struktúrákat, és visszaolvassa az audit_reply-ket.

Az audit mechanizmust szabályozni lehet, ha az engedélyezve van. Például állíthatjuk az audit üzenetek sebességét, stb. Az audit kód egy audit daemont kíván, amely az audit üzeneteket a netlink socketről átveszi. Ha a daemon nem fut, akkor az üzenetek egyszerűen printk()-szerűen érkezhetnek.

A patch egyik funkciója az, hogy auditálhatjuk a rendszer hívásokat. A rendszer hívás audit alapértelmezetten ki van kapcsolva, de egy megfelelő jogosultsággal felszerelt processz képes azt bekapcsolni, és képes egy rakás szabály (rules) szerint eldönteni, hogy mit is akar auditálni.

Az audit daemon mellé kapunk egy auditctl névre hallgató segédprogramot, amellyel felállíthatjuk és tuningolhatjuk a szabályokat.

A cucc valószínűleg a 2.6.6-os stabil kernelben fog felbukkanni. Paranoid rendszergazdáknak kötelező!

Az anyag megtalálható Rick weboldalán itt.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Vajon Brad hany bugot hallgat el...?