netlink 审计子系统分析

netlink在审计子系统中的应用分析
最新推荐文章于 2025-03-20 10:00:02 发布
原创 最新推荐文章于 2025-03-20 10:00:02 发布 · 1.1k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文探讨了netlink作为内核与用户层通信的机制,它提供了一种无需轮询、简单易实现的方式,使内核能主动发送信息。netlink支持数据报、双向及多播通信,并且工作异步。审计子系统利用netlink进行通信,相关代码位于kernel/audit.c。文章介绍了回调函数的具体实现,并引用了相关资源。

netlink 是一种基于网络的通信机制,允许在内核内部以及内核与用户层之间进行通信,其正式定义见RFC3549

netlink 相对于 procfs 或 sysfs 具有以下优势:

1.不需要轮询。

2. 简单、容易实现。

3. 内核可以直接向用户层发送信息,而无需用户层事先请求。

netlink 只支持数据报信息,但提供了双向通信。此外,netlink 不仅支持单播信息,也可以进行多播。类似于其他socket机制,netlink的工作方式是异步的。


审计子系统代码: kernle/audit.c

/* Initialize audit support at boot time. */
static int __init audit_init(void)
{
    int i;

    if (audit_initialized == AUDIT_DISABLED)
        return 0;

    printk(KERN_INFO "audit: initializing netlink socket (%s)\n",
           audit_default ? "enabled" : "disabled");
    audit_sock = netlink_kernel_create(&init_net, NETLINK_AUDIT, 0,
                       audit_receive, NULL, THIS_MODULE);
    if (!audit_sock)
        audit_panic("cannot initialize netlink socket");
    else
        audit_sock->sk_sndtimeo = MAX_SCHEDULE_TIMEOUT;

    skb_queue_head_init(&audit_skb_queue);
    skb_queue_head_init(&audit_s
最低0.47元/天 解锁文章

新学期VIP享超值加赠
4、深入探索Linux内核网络系统与Netlink套接字
omega的博客
06-15 36
本文深入探讨了Linux内核网络系统和Netlink套接字的工作原理及应用。首先介绍了Linux内核网络开发模型,包括git补丁管理、提交规则和相关信息资源。随后详细阐述了Netlink套接字的起源、优势、创建流程、协议家族及其在用户空间和内核空间的实现。最后通过技术细节分析和实际应用案例,展示了Netlink套接字在现代网络通信中的重要作用,并展望了其未来发展方向。
linux审计系统:内核层执行原理
大昱的博客
10-27 2191
linux审计系统用于记录内核部分模块及应用层(应用程序)的运行状态,如文件系统、进程、systemd应用的执行进展、遇到的问题等信息。审计系统通过netlink与auditd应用建立kernel audit直接的通信,并通过auditd把信息写入/var/log/audit/audit.log文件(默认地址,可以设置)。 linux审计系统内核部分设计相对较为简单,甚至内核文档都没有找到关于它的单独描述(只找到了它的函数定义描述)。
puppy-hids:Linux主机入侵检测系统演示,采用netlink_audit协议,支持主机与容器进程,网络,文件监控
03-11
方便使用 四个模块: 网站:前端输入服务器检测规则,黑白名单,代理监控文件,审核规则到mongodb;响应代理定时获取在线服务器列表 服务器:提供代理rpc服务器调用,从mongodb中获取代理监控配置,保存服务器在线信息到mongodb,发送日志到进行可视化 代理:netlink家族的NETLINK_AUDIT协议监听SYSCALL时间,规则可以动态配置;读取/ proc文件系统需要管理员权限运行 守护程序:响应服务器指令下发(socket) 系统采用netlink_audit协议检测进程执行,连接系统调用,仅依赖内核kauditd,这个在内核2.6集成;对于安装第三方auditd用户程序服务需要停止,否则代理接收不到系统通过netlink传递的事件信息,通过libpcap抓取网络连接五元组信息,在/ proc补全进程argv,comm,path等信息,对与短暂进程,网络连接建立LRU
Linux 网络之netlink 简介
小立仔
11-03 9820
Linux 网络之netlink 简介以及一个简单使用demo
audit服务启动失败定位方法
qq_23953675的博客
03-24 5002
audit服务启动失败一般有两个原因 1,netlink端口被占用 audit从内核往用户态发消息是通过netlink实现的,从include/linux/netlink.h中可查到预留端口NETLINK_AUDIT,即如果有用户态进程监听了此netlink端口,那么用户态服务就会启动失败,失败的原因就是因为netlink接收此端口的消息失败了。 定位方法 调用auditctl -s命令可查看到用户态的进程pid,进而查找到对应的进程信息 2,audit.log的权限问题 /var/log/audit/au
用户空间审计系统的netlink通信机制
lishenglong666的专栏
12-06 1804
与用户空间审计系统的netlink通信机制 内核审计系统与用户空间的审计后台auditd、规则设置程序auditctl使用netlink机制进行通信。 应用程序auditctl把用户的设置请求消息发送给内核审计系统,内核审计系统解析消息并进行相应操作,然后将操作的结果回传给应用程序auditctl。 当netlink机制的接收套接字缓冲区数据准备好时,netlink机制调用函数a
Linux中与内核通信的Netlink机制
jasenwan88的专栏
06-28 2585
Netlink在2.6版本的内核中变化也是很大的,在最新的2.6.37内核中,其定义已经改成下面这种形式,传递的参数已经达到6个。其中第一个参数和mutex参数都是最新添加的。Mutex也可以为空。这里主要是关于内核空间中的netlink函数的使用。 extern struct sock *netlink_kernel_create(struct net *net,
Audit-Go:使用 golang 和 Lua 中的 netlink 协议编写的用于 heka 的 Linux 审计插件
07-03
审计系统就是其中一个利用netlink接口的例,它可以捕获内核级别的安全事件,如文件访问、权限变更等。Audit-Go插件利用这个特性,能够实时监控这些事件,并将其转化为可读性高的日志信息。 Golang(Go语言)以...
内核通信之 Netlink 源码分析和实例分析
黑光技术
07-28 1010
前言这几天在看 ipvs 相关代码的时候又遇到了 netlink 的事情,所以这两天花了点时间重新把 netlink 的事情梳理了一下。什么是 netlinklinux 内核一直存在的一...
Linux netlink
最新发布
汽车以太网和SOA
03-20 3092
Linux netlink
基于 vue、ant-design-vue 的自定义Antdv 工作流组件
06-26
基于 vue、ant-design-vue 的自定义Antdv 工作流组件。支持在线流程设计器,钉钉审批模式,支持流程办理、退回、自由流、会签、并行、串行、服务任务等。
workflow-bpmn-modeler:项目本项目基于vue和bpmn.io@7.0,实现flowable的modeler模型设计器
03-19
工作流程bpmn-modeler :fire:本项目基于vue和bpmn.io@7.0 ,实现bpmn.io@7.0的建模器流程设计器 预览 在线演示 :backhand_index_pointing_right: 安装 # 安装 yarn add workflow-bpmn-modeler 使用说明(最简demo) < template> < div> < bpmn xss=removed xss=removed xss=removed xss=removed xss=removed xss=removed xss=removed> </ div> </ template> < script > i
vue使用flowable绘制流程图.docx
12-11
vue使用flowable绘制流程图
Netlink机制详解
xinyuan510214的专栏
09-23 7513
更多文章请多关注个人网站:http://www.readbk.net,谢谢浏览! 机制原理: Netlink 是一种特殊的 socket,它是 Linux 所特有的,由于传送的消息是暂存在socket接收缓存中,并不被接收者立即处理,所以netlink是一种异步通信机制。 系统调用和 ioctl 则是同步通信机制。 用户空间进程可以通过标准socket API来实现消息的发送、接收,在L
linux netfilter/iptables 架构分析及nelink的使用
飞翔de刺猬
09-29 4419
本文主要介绍,分为三部分: 1.linux netfilter/iptables组织架构,及其如何扩展netfilter模块。 2.linux netlink机制及其使用方式。 3.介绍内核模块的编写方法:内嵌到源码树构建;独立于源码树构建。
RFC3549 -以IP服务协议看待Linux Netlink
cicuinie0996的博客
01-09 384
这是很好的一遍RFC,本来打算放在OSC的翻译项目里面去的,结果@红薯说太长了,不好弄。 我只能在博客里面推荐一下。 它很形象地从网络协议的角度去描述了LinuxNetlink机制在系统内的实现方式。 (Ps:从文章的第一部分的CPC,FEC的描述,可以认出,这在网络设计制...
NETLINK
qq_42138566的博客
11-11 1163
NETLINK(7)Linux程序员手册NETLINK(7) 名称 netlink-内核和用户空间之间的通信(AF_NETLINK) 概要 #include <asm / types.h> #include <sys / socket.h> #include <linux / netlink.h> netlink_socket = socket(AF_NETLINK, socket_type, netlink_family); 描述 Netlink用于在内核进程和
linux 内核中Netlink
06-06 4014
netlink内核中实现
【一种关于flowable 的工作流设计器】workflow-bpmn-modeler-antdv的使用
热门推荐
tigerhhzz的博客
09-18 1万+
Flowable是一个使用Java编写的轻量级业务流程引擎。Flowable流程引擎可用于部署BPMN 2.0流程定义(用于定义流程的行业XML标准), 创建这些流程定义的流程实例,进行查询,访问运行中或历史的流程实例与相关数据,等等。Flowable项目源自于Activiti,通过两个框架的发展史即知。
Linux操作系统安全审计机制与编程实践
Linux审计系统系统之间通信如图2-3所示。应用程序auditctl用来设置审计消息过滤规则、查询内核审计系统状态等,它通过netlink机制与内核审计系统的socket线程进行双向通信。内核其他线程的审计信息通过内核审计...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值