一种基于Linux安全模块的第三方日志系统.pdfVIP

川 时 并 僻叶 刷 机 ， 川 应 用 -P Vol. 26 第 26 卷 pu A h o au o m n 2006 年6 月 June 2ω6 文章编号:1001 响 9081(2∞6)06Z … 0151 -03 一种基于 Linux 安全模块的第三方日志系统 张晖栋，刘乃琦 (电子科技大学网络安全基础实斡室，四川成都 610054 ) ( hdzhang@ yeah. net) 摘 要:Linux 安全棋块(Linux Security Module , LSM) 是为.i.流Linux 内极设计的一种极爱兢、通 用的访问控制报架，它提供了内核蜒的编程接口。通过LSM 可以非常方便地实现对内核数据的各种 访问控制机制。虽然 LSM 没有显式地提供对安全审计的支持，但它所提供的各种梯口十分有利于记 录各种内柑倍息。主要研究在 LSM 报架基础上的日志记录和审计系统。 通过对 LSM 的研究，设计 了一个第二乙方日志总统，实现了仿息记录和安全审计。 关键询:Linux 安全棋块;访问控制;安企日志;系统调用 中图分3障碍: TP3 16 ;TP309. 2 文献标识明:A 商其工作效率。因此，基于 LSM 实现的安全策略，不必担心 计算机操作系统安全是任何倍息系统安全的慕础。审 计是保证操作系统安全的各种措施中不可戒缺的一环。元 内核升级带来的不便。 论是政击者的恶意入侵，还j丧命怯用户的正常操作，审计系统 LSM 框架是基于系统调用的协问控制概架。内核在对 都可以将这接行为作为系统日志记录下来。无论是实时的访 内核对象实际操作前调用贸企模块的 hook 函数，并通过 hook 问控制，还是事后的安全检菇，站接日志记录都是十分撞耍的 函数访问安全策略来决应是否允许执行操作(见周刊。 安全信息的来掘。鼠然操作系统…般都会提供究膜的日志记 LSM 对内核做了5 处主要的修改: 录，但由于其公开的性质，通常入侵者都合在离开系统的时候 1) 在一些麓耍的内核数据铺掏中加入了不透明的安全 修改这蜡记录以隐藏自身的存在。为避免这种情况的出现， 城用于记录可能使用的安余数据，通常为当前内核对象的上 需要…个独立于操作系统之外的第二方日志系统。通常设计 下文参数和相关的安企借息(如安金等银) j 这样的一个日志系统需要对操作系统内核做一定的修改，但