基于Linux操作系統(tǒng)的審計(jì)增強(qiáng)-

1、 基于Linux操作系統(tǒng)的審計(jì)增強(qiáng)劉嘉潘理上海交通大學(xué)信息安全學(xué)院摘要在此審計(jì)系統(tǒng)中并且基于B/S架構(gòu)關(guān)鍵詞遠(yuǎn)程審計(jì)管理AbstractKey words122005年6月June 2005文章編號3428(20051203文獻(xiàn)標(biāo)識碼TP393;TP312隨著互聯(lián)網(wǎng)的蓬勃發(fā)展安全問題變得日益復(fù)雜和突出保證了操作系統(tǒng)對各種與安全相關(guān)事件的跟蹤目前半數(shù)以上的網(wǎng)絡(luò)服務(wù)器以Linux作為操作系統(tǒng)Linux還沒有提供除syslog和acct(或pacct以外的獨(dú)立的審計(jì)子系統(tǒng)本文針對Linux 審計(jì)功能的不足進(jìn)行分析和改進(jìn)詳細(xì)說明了其中的關(guān)鍵技術(shù)必須對上述Linux系統(tǒng)的不足進(jìn)行徹底改進(jìn)(1審計(jì)收集子系

2、統(tǒng)(2審計(jì)數(shù)據(jù)存儲并且受到安全保護(hù)審計(jì)系統(tǒng)的總體結(jié)構(gòu)見圖1圖1 審計(jì)系統(tǒng)總體結(jié)構(gòu)1.1 審計(jì)收集的設(shè)計(jì)設(shè)計(jì)的原則以保證審計(jì)過程不會受到非法用戶的干擾或取得一定權(quán)限用戶繞過(3系統(tǒng)的效率不能有大的損失需對兩類操作進(jìn)行審計(jì)如open readpasswdLinux原有的審計(jì)功能或利用大型服務(wù)器自帶的審計(jì)系統(tǒng)收集logi(2 核心事件的審計(jì)收集編寫核心事件的收集模塊細(xì)化后的審計(jì)收集模型見圖2POSIX 1e標(biāo)準(zhǔn)基金項(xiàng)目863上海市科委科技攻關(guān)項(xiàng)目(025115039作者簡介工程師主研方向?yàn)橥ㄐ排c信息博士講師李建華博導(dǎo)定稿日期lily_an 審計(jì)收集 刪除等LKM技術(shù)(1頭部(header發(fā)生時間(t

3、ime(2主體(subjectpid 等記錄被事件影響的客體(文件進(jìn)程(4與事件相關(guān)的數(shù)據(jù)(event_specific datacmd_args(命令參數(shù) 返回碼為防止非法用戶的讀取或篡改可以把審計(jì)數(shù)據(jù)轉(zhuǎn)儲到其它比較安全的機(jī)器上例如使除審計(jì)管理員外的任何其它用戶均無法看到審計(jì)數(shù)據(jù)審計(jì)管理員操作審計(jì)數(shù)據(jù)時僅需卸載該模塊即可7CGI 表單發(fā)出的各種命令(1瀏覽刪除審計(jì)數(shù)據(jù)庫(3設(shè)置自動審計(jì)的間隔(缺省是一天(4進(jìn)行審計(jì)數(shù)據(jù)的轉(zhuǎn)存設(shè)置日志文件大小等管理調(diào)度相應(yīng)的后臺服務(wù)程序此外對用戶進(jìn)行數(shù)字認(rèn)證安全遠(yuǎn)分析管理平臺邏輯結(jié)構(gòu)見圖32 基于Linux 操作系統(tǒng)審計(jì)系統(tǒng)的實(shí)現(xiàn)按照審計(jì)系統(tǒng)的設(shè)計(jì)要求2.1

4、核心級審計(jì)收集的實(shí)現(xiàn)在Linux 操作系統(tǒng)中進(jìn)而訪問系統(tǒng)資源對系統(tǒng)調(diào)用進(jìn)行審計(jì)也就審計(jì)了所有內(nèi)核服務(wù)事件8fork(的響應(yīng)函數(shù)為sys_fork(源文件為kernel/fork.csys_call_table 中對應(yīng)的表項(xiàng)所指的恰是系統(tǒng)調(diào)用響應(yīng)函數(shù)的入口地址表示參數(shù)的個數(shù)open(有3個參數(shù)syscallN(的第1個參數(shù)表示響應(yīng)函數(shù)的返回值剩下的部分是參數(shù)描述下面是其中的一小段源代碼197 SAVE_ALL #保存寄存器當(dāng)前值 198 GET_CURRNT (%ebx199 cmpl $(NR_syscalls, %eax #檢查是否為合法的系統(tǒng)調(diào)用此處可插入審計(jì)收集代碼203 call *S

5、YMBOL_NAME(sys_call_table(,%eax 4 #以調(diào)用號為索引可在語句202之后插入審計(jì)收集代碼審計(jì)收集模塊就能得到系統(tǒng)調(diào)用號等有關(guān)的審計(jì)信息另外均會跳轉(zhuǎn)至ret_from_sys_call,在此處可獲得系統(tǒng)調(diào)用操作是否成功的信息也是entry.S中的一段代碼 以及大部分中斷服務(wù)程序返回前即該段程序不僅為系統(tǒng)調(diào)用服務(wù)處理中斷嵌套如果需要審計(jì)更多的信息可在該代碼中相應(yīng)位置加入審計(jì)搜集代碼操作系統(tǒng)的執(zhí)行會慢些從進(jìn)程上下文可以獲得審計(jì)的信息若從sys_call 插入審計(jì)代碼從syscallN(中的參數(shù)獲得調(diào)用參數(shù)若從ret_from_sys_call 中因?yàn)檎Z句204已經(jīng)使ea

6、x 變成了返回結(jié)果值如open(中的文件為相對路徑read(fdfd 轉(zhuǎn)換成需要的文件名實(shí)現(xiàn)遠(yuǎn)程安全管理平臺Webmin 是用Perl 編寫的基于B/S 架構(gòu)的Linux (Unix系統(tǒng)配置管理工具主要利用CGI 表單執(zhí)行系統(tǒng)管理任務(wù)連接時Webmin 時會連接認(rèn)證服務(wù)器因而保證了遠(yuǎn)程操作的安全Webmin 已提供了審計(jì)系統(tǒng)的遠(yuǎn)程管理平臺的基本構(gòu)架做一些功能的添加(1功能擴(kuò)展容易(2移植性好(3集成性好容易與安全操作系統(tǒng)的其它管理平臺整合到一起圖4是基于Webmin 實(shí)現(xiàn)的安全遠(yuǎn)程管理平臺的示意圖 前 臺圖4 遠(yuǎn)程審計(jì)管理示意圖需要指出的是會直接在瀏覽器端打印perl程序源代碼分析其源程序可知

7、Webmin所有的CGI程序都會有do web-lib.pl或require web-lib.pl定義了各種環(huán)境變量及socket&header-(2提供統(tǒng)一的顯示風(fēng)格和圖形化界面不需考慮有關(guān)背景字體等設(shè)計(jì)工作使系統(tǒng)管理員通過Web游覽器修改顯示風(fēng)格需要對原程序進(jìn)行一些修改包括在程序開頭部分加入require及&header(title, image,具體&header(后應(yīng)該跟幾個參數(shù)(2在結(jié)尾部分去掉有關(guān)footer作為替代則可在程序開頭直接調(diào)用web-lib.pl中定義的3個子例程&ge t_modul_acl另外iso-8859-1web-lib.pl$current_lang_inf

8、o-charset: “iso-8859-1”改成$current_lang_info-charset: “gb2312”即可與ODBC(Open Database Connectivity相比有如下優(yōu)點(diǎn)這意味著對于大型數(shù)據(jù)庫的檢索(2有RaiseError和PrintRrror機(jī)制(3有獨(dú)立的語句句柄6即一系列的操作或者全有效DBI 缺省的情況下即每次語句句柄都會對數(shù)據(jù)庫進(jìn)行操作因此以支持事務(wù)操作可使用rollback(將最近沒有提交的數(shù)據(jù)庫進(jìn)行恢復(fù)方法采用已經(jīng)較成熟的基于規(guī)則集的專家系統(tǒng)及統(tǒng)計(jì)的審計(jì)分析技術(shù)用Perl 編寫的功能并利用AT&T BELL實(shí)驗(yàn)室開發(fā)的DOT圖形工具語言生成層次

9、分明的圖形報(bào)表2(經(jīng)過的系統(tǒng)資源次數(shù)圖形化描述各用戶特權(quán)命令讀寫文件的統(tǒng)計(jì)報(bào)表等由于計(jì)算機(jī)對數(shù)字進(jìn)行模式匹配的處理速度遠(yuǎn)遠(yuǎn)快于對字符串的處理如用1表示結(jié)果成功503表示用戶使用被禁用的賬戶登錄嘗試等因此方便審計(jì)管理員利用SQL 語句檢索審計(jì)數(shù)據(jù)庫原始文檔同時如忽略運(yùn)行時間微秒極的差別或轉(zhuǎn)換時忽略某些數(shù)據(jù)某類文件不同的審計(jì)分析工具可由審計(jì)管理員按照需要設(shè)定同時執(zhí)行或部分執(zhí)行基于Linux2.4.0內(nèi)核本審計(jì)系統(tǒng)遵循POSIX le標(biāo)準(zhǔn)同時對Webmin進(jìn)行二次開發(fā)實(shí)現(xiàn)了基于Web的安全遠(yuǎn)程圖形化審計(jì)管理控制系統(tǒng)不論從審計(jì)系統(tǒng)的粒度參考文獻(xiàn)1 Helm P, Liepins G. Statisca

10、l Foundation of Audit Trail Analysis. IEEE Transactions on Software Engineering, 1993, 19:886-9012 Hoagland J, Wee C, Levitt K. Audit Log Analysis Using the Visual Audit Browser Toolkit. /awb/AuditWork- Bench.html3 Anderson J P. Computer Security Threat Monitoring and Surv

11、eillance. James P. Anderson Co., Fort Washington, PA, 19804 Bishop M, Wee C, Frank J. Goal-oriented Auditing and Logging. /awb/AuditWorkBench.html5 Wetmore B. Paradigms for the Reduction of Audit TrailsMasters Thesis. Davis: University of California, 19936 Descartes A, Bun

12、ce T. Programing the Perl DBI.101 Morris Street Sebastopol. CA 95427:OReilly & Associates, Inc., 20007 賈春福, 徐偉, 鄭輝. Linux內(nèi)核級安全審計(jì)方法研究. 計(jì)算機(jī)工程與應(yīng)用, 2002-06: 53-558劉海峰, 卿斯?jié)h, 劉文清. 安全操作系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn). 計(jì)算機(jī)研究與發(fā)展, 2001, 38(10:1262-1264是對數(shù)據(jù)庫壓縮 基于Linux操作系統(tǒng)的審計(jì)增強(qiáng)作者:劉嘉, 訾小超, 潘理, 李建華, LIU Jia, ZI Xiaochao, PAN Li, LI Jia

13、nhua 作者單位:上海交通大學(xué)信息安全學(xué)院,上海,200030刊名: 計(jì)算機(jī)工程英文刊名:COMPUTER ENGINEERING年,卷(期:2005,31(12參考文獻(xiàn)(8條1.賈春福;徐偉;鄭輝Linux內(nèi)核級安全審計(jì)方法研究期刊論文-計(jì)算機(jī)工程與應(yīng)用 2002(62.劉海蜂;卿斯?jié)h;劉文清安全操作系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)期刊論文-計(jì)算機(jī)研究與發(fā)展 2001(103.Descartes A;Bunce T Programing the Perl DBI. 101 Morris Street Sebastopol 20004.Wetmore B Paradigms for the Reduction of Audit Trails 19935.Bishop M;Wee C;Frank J Goal-oriented Auditing and Logging6.Anderson J P Compu