![[linux下进程行为检测] 2.auditd、bpftrace工具了解](http://www.mshxw.com/aiimages/31/676351.png "[linux下进程行为检测] 2.auditd、bpftrace工具了解")
本文为作者本科毕业设计相关内容的系列文章,记录从零基础到开发一个linux下进程行为检测程序(或者只是学习成果)的过程(详细笔记)。通过学习本系列文章,您可以从零基础到添加linux内核模块并研发一个捕获进程所有系统调用的日志系统。本系列文章收录在系统安全专栏。
前文链接
[linux下进程行为检测] 1.proc、sys文件系统
文章目录
- auditd介绍
- 基本使用
- auditd审核配置
- Bpftrace介绍
- 内核探针
auditd=>(audit daemon) 是Linux审计系统中一个组件,负责将审计记录写入磁盘。
auditd下的一些工具
auditctl: 可以用来添加审计规则等。
aureport: 查看和生成审计报告的工具。
ausearch: 查找审计事件的工具
auditspd: 转发事件通知给其他应用程序,不写入到审计日志文件。
autrace: 一个用于跟踪进程的命令。
/etc/audit/auditd.conf: auditd工具的配置文件。
/etc/audit/audit.rules: 记录审计规则的文件。
auditd工具安装,apt install auditd
基本使用
查看当前审计规则 sudo auditctl -l
为passwd文件添加审计 sudo auditctl -w /etc/passwd -p rwxa
-w 路径;-p权限
为/lab/目录添加审计 sudo auditctl -w /lab/
调出对passwd文件的审计信息 sudo ausearch -f /etc/passwd
调出对/lab/目录的审计信息 sudo ausearch -f /lab/
当使用ls /lab/命令后,再查看审计信息就可以看到结果。
查看审计报告总体信息 sudo aureport
查看每次操作信息 sudo aureport -au
auditd审核配置
想要审核永久化,需要编辑/etc/audit/rules.d/audit.rules
在最后一行添加sudo auditctl -l的结果
重启service auditd restart
Bpftrace介绍
Bpftrace(Berkeley Packet Filter trace) 是Linux的新开源 跟踪程序,用于分析生产性能问题和故障排除软件,bpftrace 提供了一种快速利用eBPF实现动态追踪的方法。可以利用它进行内核动态跟踪。
eBPF是一个无需更改内核源代码或加载内核模块实现监视功能的软件。
Linux是一个事件驱动的系统设计,所以对于任何事件的发生,理论上都可以对其进行追踪。
动态追踪都是通过探针的机制,依赖于在追踪点实现的探针(probe),进而获取相应的追踪数据。
内核探针
bpftrace在实现内核行为追踪时使用的探针主要包括内核动态探针(Kprobes) 和内核静态探针(Tracepoints) 两种。
内核动态探针
内核动态探针可以分为两种:kprobes 和 kretprobes。
Kprobes通常在内核函数执行前插入eBPF程序,kprobes类型的探针用于跟踪内核函数调用。
而kretprobes则在内核函数执行完毕返回之后,插入相应的eBPF程序。
查看当前版本内核所支持的Kprobes探针列表 bpftrace -l 'kprobe:*'
内核静态探针
Tracepoints是在内核代码中所做的一种静态标记,是开发者在内核源代码中散落的一些hook。
查看当前版本内核所支持的Tracepoints探针列表 bpftrace -l 'tracepoint:*'
Kprobes有较强的版本依赖性,而Tracepoints有着更稳定的应用程序编程接口。
