【技术实现步骤摘要】
本专利技术涉及命令行审计,尤其涉及一种基于ftrace的linux主机命令审计方法和系统及装置。
技术介绍
1、实现linux主机命令行审计,通常会面临如何在不影响系统性能的同时获取足够信息以进行有效监控与分析的挑战。linux系统作为一个多用户环境,系统管理员需要监控系统以确定哪些用户执行了某些命令,这对于确保系统安全、追踪潜在的错误配置、审计用户操作至关重要。
2、现有的用户空间的审计工具虽然能够记录用户的操作,但它们对系统性能有一定影响,而且会因为各种原因被绕过。例如,依赖于bash shell的history机制或者syslog日志记录的工具可以被用户或者恶意软件修改或禁用。
3、因此,如何提供一种更加安全的命令审计方法,降低审计侵入性,提供更高的扩展性和实时性,成为亟待解决的技术问题。
技术实现思路
1、有鉴于此,为了克服现有技术的不足,本专利技术旨在提供一种基于ftrace的linux主机命令审计方法和系统及装置。
2、根据本专利技术的第一方...
【技术保护点】
1.一种基于ftrace的Linux主机命令审计方法,其特征在于,所述方法包括:
2.根据权利要求1所述的基于ftrace的Linux主机命令审计方法,其特征在于,当控制消息含有开启命令行审计的指令,用户态Agent在Linux内核和Linux主机的bash二进制程序设置插桩,包括:当接收到的控制消息中含有开启命令行审计的指令,用户态Agent检索查询Linux主机的bash二进制程序,计算readline函数在bash二进制程序中的偏移量,通过ftrace uprobe配置接口根据计算所得的偏移量在Linux内核设置内核态ftrace uprobe插桩,...
【技术特征摘要】
1.一种基于ftrace的linux主机命令审计方法,其特征在于,所述方法包括:
2.根据权利要求1所述的基于ftrace的linux主机命令审计方法,其特征在于,当控制消息含有开启命令行审计的指令,用户态agent在linux内核和linux主机的bash二进制程序设置插桩,包括:当接收到的控制消息中含有开启命令行审计的指令,用户态agent检索查询linux主机的bash二进制程序,计算readline函数在bash二进制程序中的偏移量,通过ftrace uprobe配置接口根据计算所得的偏移量在linux内核设置内核态ftrace uprobe插桩,在bash二进制程序中设置hook插桩。
3.根据权利要求2所述的基于ftrace的linux主机命令审计方法,其特征在于,通过ftrace uprobe配置接口根据计算所得的偏移量在linux内核设置内核态ftrace uprobe插桩,包括:通过向ftrace uprobe配置接口发送注册消息,向linux内核注册内核态ftraceuprobe插桩。
4.根据权利要求1所述的基于ftrace的linux主机命令审计方法,其特征在于,当用户在linux系统中执行命令时,根据设置的插桩将命令行操作日志写入linux内核的ringbuffer中,包括:当用户在linux系统中执行命令时,bash二进制程序执行readline函数读取用户输入的命令行内容,在readline函数返回执行结果前,采用在bash二进制程序中设置的hook插桩,调用设置在内核态的内核态ftrace uprobe插桩获取当前bash二进制程序的命令行操作日志,将获取的命令行操作日志写入linux内核的ringbuffer中,所述命令行操作日志包括进程pid、进程名、进程路径、父进程pid、执行用户、执行时间以及命令行信息。
5.根据权利要求1所述的基于ftrace的linux主机命令审计方法,其特征在于,用户态agent持续从linux内核的ringbuffer中接收命令行操作日志,对命令行操作日志进行数据富化,将经过数据富化后的命令...
【专利技术属性】
技术研发人员:余登峰,
申请(专利权)人:中电云计算技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。