年月第31卷第12期计算机工程20056June2005Vol.3112ComputerEngineering基金项目论文文章编号10003428(2005)12004903文献标识码A中图分类号TP393;TP312基于Linux操作系统的审计增强刘嘉訾小超潘理李建华上海交通大学信息安全学院上海200030摘要论述了基于Linux基础平台开发高可靠性安全操作系统中审计系统的设计思想与实现在此审计系统中通过审计系统调用实现了细粒度的系统级审计数据的收集并且基于B/S架构实现了具有自动分析功能的图形化安全远程审计管理平台关键词审计收集远程审计管理审计分析EnhancementofAuditinginLinuxLIUJia,ZIXiaochao,PANLi,LIJianhua(CollegeofInformationSecurity,ShanghaiJiaotongUniversity,Shanghai200030)AbstractThispaperdiscusseshowtodeveloptheauditmoduleforsecureoperatingsystembasedontheLinuxkernel.Thisauditsubsystemcancollectallthecore-levelinformationbymountingauditpointsinthekernel,andprovidesecureauditmanagementwithautomateanalysisfromremoteterminalthroughwebsite.KeywordsAuditcollect;Auditremotemanagement;Auditanalysis随着互联网的蓬勃发展计算机系统遭受入侵的可能性一类是核心级的安全操作事件如openexecreadwrite急剧增加安全问题变得日益复杂和突出审计系统作为安等系统调用另一类为应用层中执行的某些重要事件如全操作系统的重要组成部分保证了操作系统对各种与安全loginpasswduseradd等系统命令和特权命令它们跟系统相关事件的跟踪分析及反应能力目前半数以上的网络服的安全密切相关因此可从总体上采取以下技术路线务器以Linux作为操作系统然而迄今为止Linux还没有(1)应用层的审计事件收集直接利用Linux原有的审计功能提供除syslog和acct(或pacct)以外的独立的审计子系统因即应用进程主动调用相应的审计收集函数把自己的事件汇报给审计而Linux也就无法达到C1级以上的安全级别系统或利用大型服务器自带的审计系统收集对某些特殊的应用程序(initlogiuserdel等)则需要在程序相应的地方增加审计代码本文针对Linux审计功能的不足进行分析和改进介绍(2)核心事件的审计收集利用Linux系统的LKM(Loadble了一种符合级安全操作系统需求的具有完整审计机制的B1KernelModules)机制编写核心事件的收集模块这部分是需要对远程审计系统详细说明了其中的关键技术Linux审计系统进行增强的主要部分细化后的审计收集模型见图21基于Linux操作系统审计系统的设计应用原Linux审内存为使Linux的审计系统满足B1级的安全需要必须对程序计系统收集缓冲区上述Linux系统的不足进行彻底改进一个功能完善的审计应用层事件系统应包括3个部分(1)审计收集子系统能够收集满足系统安全需要的细粒度的审计数据(2)审计数据存储审计数LKM技术据组织的形式应便于检索并且受到安全保护(3)包含自动系内核级收集模块分析功能在内的比较完善的远程审计处理平台审计系统的系统调用统总体结构见图1其中箭头表示数据的流向内核以记录对审计数据进检索分析等审计命令图2审计收集结构图系统事件方式行分析或检索安全远程审计审计数审计管分析管理1.2审计数据的格式及存储收集写入据库对审计数据返回相应的数据理员平台审计收集的数据可先放在内存缓冲区库进行备份(1)(2)中等达到一定长度一次性以记录的形式压缩删除等(3)写入审计数据库参照POSIX1e标准每条图1审计系统总体结构审计记录由4个部分组成1.1审计收集的设计设计的原则(1)能以独立于应用的方式获取审计数据基金项目国家863计划信息安全重大基金资助项目以保证审计过程不会受到非法用户的干扰或取得一定权限(2002AA145090)上海市科委科技攻关项目(025115039)用户绕过对内核的修改尽量少系统的效率不能有大(2)(3)作者简介刘嘉(1973)女工程师硕士生主研方向为通信的损失与信息訾小超博士潘理讲师博士李