Linux 用戶空間審計系統(tǒng)
原創(chuàng)一、Linux用戶空間審計系統(tǒng)簡介
Linux內(nèi)核有用日志記錄事件的能力,比如記錄系統(tǒng)調(diào)用和文件訪問。然后管理員可以評審這些日志,確定可能存在的安全漏洞,比如失敗的登錄嘗試,或者用戶對系統(tǒng)文件不成功的訪問。這種功能稱為Linux用戶空間審計系統(tǒng),在Red Hat Enterprise Linux 5及其之后版本中已經(jīng)直接可用。當(dāng)然老版本的Linux 也可以手工添加軟件使用。Linux在用戶空間審計系統(tǒng)由auditd、audispd、auditctl、autrace、ausearch和aureport等應(yīng)用程序組成。審計后臺auditd應(yīng)用程序通過netlink機制從內(nèi)核中接收審計消息,然后通過一個工作線程將審計消息寫入到審計日志文件中,Linux的審核系統(tǒng)提供了一種記錄系統(tǒng)安全信息的方法,為系統(tǒng)管理員在用戶違反系統(tǒng)安全規(guī)則時提供及時的警告信息。內(nèi)核其他線程通過內(nèi)核審計API寫入套接字緩沖區(qū)隊列audit_skb_queue中,內(nèi)核線程kauditd通過netlink機制將審計消息定向發(fā)送給用戶控件的審計后臺auditd的主線程,auditd主線程再通過事件隊列將審計消息傳給審計后臺的寫log文件線程,寫入log文件。另一方面,審計后臺還通過一個與套接字綁定的管道將審計消息發(fā)送給dispatcher應(yīng)用程序。圖1是Linux audit架構(gòu)示意圖 。
圖1 Linux audit架構(gòu)示意圖
圖1的實線代表數(shù)據(jù)流,虛線代表組件關(guān)之間的控制關(guān)系 。
auditd :audit 守護進程負(fù)負(fù)責(zé)把內(nèi)核產(chǎn)生的信息寫入到硬盤上,這些信息是由應(yīng)用程序和系統(tǒng)活動所觸發(fā)產(chǎn)生的。audit守護進程如何啟動取決于它的配置文件,/etc /sysconfig/auditd。audit系統(tǒng)函數(shù)的啟動受文件/etc/audit/auditd.conf的控制。在用戶空間審計系統(tǒng)通過auditd后臺進程接收內(nèi)核審計系統(tǒng)傳送來的審計信息,將信息寫入到/var/log/audit/audit.log 中,audit.log的路徑可在/etc/auditd.conf 中指定。當(dāng)auditd沒有運行時,內(nèi)核將審計信息傳送給 syslog,這些消息通常保存在/var/log/messages文件中,可以用dmesg命令查看。
auditctl:auditctl功能用來控制audit系統(tǒng),它控制著生成日志的各種變量,以及內(nèi)核審計的各種接口,還有決定跟蹤哪些事件的規(guī)則。
audit.rules:在/etc/audit/audit.rules中包含了一連串a(chǎn)uditctl命令,這些命令在audit系統(tǒng)被啟用的時候被立即加載。
aureport:aureport的功能是能夠從審計日志里面提取并產(chǎn)生一個個性化的報告,這些日志報告很容易被腳本化,并能應(yīng)用于各種應(yīng)用程序之中,如去描述結(jié)果。
ausearch : ausearch用于查詢審計后臺的日志,它能基于不同搜索規(guī)則的事件查詢審計后臺日志。每個系統(tǒng)調(diào)用進入內(nèi)核空間運行時有個唯一的事件id,系統(tǒng)調(diào)用在進入內(nèi)核后的運行過程的審計事件共享這個id。
audispd:audispd是消息分發(fā)的后臺進程,用于將auditd后臺發(fā)過來的一些消息通過syslog寫入日志系統(tǒng)。這是一個審計調(diào)度進程,它可以為將審計的信息轉(zhuǎn)發(fā)給其它應(yīng)用程序,而不是只能將審計日志寫入硬盤上的審計日志文件之中。
autrace這個功能更總類似于strace,跟蹤某一個進程,并將跟蹤的結(jié)果寫入日志文件之中。
要使用安全審計系統(tǒng)可采用下面的步驟:
● 安裝軟件包
● 了解配置文件
● 了解配置命令
● 添加審計規(guī)則和觀察器來收集所需的數(shù)據(jù)
● 啟用了內(nèi)核中的audit并開始進行日志記錄
● 通過生成審計報表和搜索日志來周期性地分析數(shù)據(jù)#p#
二、 安裝軟件包并且配置審計守護進程
1 安裝軟件包
要使用auditd和實用程序來生成日志文件報表,必須安裝audit RPM程序包
#yum install audit
audit也可以從源碼安裝,源碼下載地址:http://people.redhat.com/sgrubb/audit/
2 了解audit配置文件
(1) audit配置文件簡介
audit是系統(tǒng)中的一個服務(wù)。是Linux audit Subsystem 的縮寫。這一服務(wù)用來審計系統(tǒng)調(diào)用的紀(jì)錄,并把記錄寫入文件當(dāng)中。auditd是audit系統(tǒng)的用戶空間程序,主要作用是將audit記錄信息寫到磁盤上。audit安裝后,會生成2個文件.audit在啟動時會讀取2個配置文件:/etc/audit/auditd.conf 和/etc/audit/audit.rules 。相關(guān)文件的位置:
/etc/audit/audit.conf 守護程序的默認(rèn)配置文件
/etc/audit/audit.rules 守護程序默認(rèn)的過濾文件
auditd使用方法:
auditd [ -f ]
-f auditd在前臺運行,調(diào)試時使用.
(2) /etc/audit/audit.conf文件詳解
/etc/audit/audit.conf守護程序的默認(rèn)配置文件是Linux安全審計系統(tǒng)最關(guān)鍵文件。/etc/audit/audit.conf文件包括如下幾個部分:
● 設(shè)置審計消息的專用日志文件
● 確定是否循環(huán)使用日志文件
● 如果日志文件的啟動用掉了太多磁盤空間則發(fā)出警告
● 配置審計規(guī)則記錄更詳細(xì)的信息
● 激活文件和目錄觀察器
這些設(shè)置值及更多設(shè)置值位于/etc/audit/auditd.conf文件中,它包含修改審計守護進程的行為的選項。每個選項均應(yīng)在獨立的一行上,后面跟著等于號(=)和這個選項的值。/etc/audit.audit.rules中的每個規(guī)則和觀察器必須單獨在一行中,以#開頭的行會被忽略。規(guī)則和觀察器是auditctl命令行選項,前面沒有auditctl命令。它們從上到下閱讀文件。如果一個或多個規(guī)則或觀察器互相沖突,則使用找到的第一個。auditd.conf的選項說明如表1所示。
表1 auditd.conf的選項和說明
|
選項 |
選項說明 |
|
log_file = |
審計日志文件的完整路徑。如果您配置守護進程向除默認(rèn)/var/log/audit/外的目錄中寫日志文件時,一定要修改它上面的文件權(quán)限,使得只有根用戶有讀、寫和執(zhí)行權(quán)限。所有其他用戶都不能訪問這個目錄或這個目錄中的日志文件 |
|
log_format = |
寫日志時要使用的格式。當(dāng)設(shè)置為RAW時,數(shù)據(jù)會以從內(nèi)核中檢索到的格式寫到日志文件中。當(dāng)設(shè)置為NOLOG時,數(shù)據(jù)不會寫到日志文件中,但是如果用dispatcher選項指定了一個,則數(shù)據(jù)仍然會發(fā)送到審計事件調(diào)度程序中 |
|
priority_boost = |
審計應(yīng)采用多少優(yōu)先級推進守護進程。必須是非負(fù)數(shù)。0表示沒有變化 |
|
flush = |
多長時間向日志文件中寫一次數(shù)據(jù)。值可以是NONE、INCREMENTAL、DATA和SYNC之一 |
|
freq = |
如果flush設(shè)置為INCREMETNAL,審計守護進程在寫到日志文件中前從內(nèi)核中接收的記錄數(shù) |
|
num_logs = |
max_log_file_action設(shè)置為ROTATE時要保存的日志文件數(shù)目。必須是0~99之間的數(shù)。如果設(shè)置為小于2,則不會循環(huán)日志。如果遞增了日志文件的數(shù)目,就可能有必要遞增/etc/audit/audit.rules中的內(nèi)核backlog設(shè)置值,以便留出日志循環(huán)的時間。如果沒有設(shè)置num_logs值,它就默認(rèn)為0,意味著從來不循環(huán)日志文件 |
|
dispatcher = |
當(dāng)啟動這個守護進程時,由審計守護進程自動啟動程序。所有守護進程都傳遞給這個程序。可以用它來進一步定制報表或者以與您的自定義分析程序兼容的不同格式產(chǎn)生它們。由于調(diào)度程序用根用戶特權(quán)運行,因此使用這個選項時要極其小心。這個選項不是必需的 |
|
disp_qos = |
控制調(diào)度程序與審計守護進程之間的通信類型。有效值為lossy和lossless。如果設(shè)置為lossy,若審計守護進程與調(diào)度程序之間的緩沖區(qū)已滿(緩沖區(qū)為128千字節(jié)),則發(fā)送給調(diào)度程序的引入事件會被丟棄。然而,只要log_format沒有設(shè)置為nolog,事件就仍然會寫到磁盤中。如果設(shè)置為lossless,則在向調(diào)度程序發(fā)送事件之前和將日志寫到磁盤之前,調(diào)度程序會等待緩沖區(qū)有足夠的空間 |
|
max_log_file = |
以兆字節(jié)表示的最大日志文件容量。當(dāng)達(dá)到這個容量時,會執(zhí)行max_log_file _action指定的動作 |
|
max_log_file_action = |
當(dāng)達(dá)到max_log_file的日志文件大小時采取的動作。值必須是IGNORE、SYSLOG、SUSPEND、ROTATE和KEEP_LOGS之一。如果設(shè)置為IGNORE,則在日志文件達(dá)到max_log_file后不采取動作。如果設(shè)置為SYSLOG,則當(dāng)達(dá)到文件容量時會向系統(tǒng)日志/var/log/messages中寫入一條警告。如果設(shè)置為SUSPEND,則當(dāng)達(dá)到文件容量后不會向日志文件寫入審計消息。如果設(shè)置為ROTATE,則當(dāng)達(dá)到指定文件容量后會循環(huán)日志文件,但是只會保存一定數(shù)目的老文件,這個數(shù)目由num_logs參數(shù)指定。老文件的文件名將為audit.log.N,其中N是一個數(shù)字。這個數(shù)字越大,則文件越老。如果設(shè)置為KEEP_LOGS,則會循環(huán)日志文件,但是會忽略num_logs參數(shù),因此不會刪除日志文件 |
|
space_left = |
以兆字節(jié)表示的磁盤空間數(shù)量。當(dāng)達(dá)到這個水平時,會采取space_left_action參數(shù)中的動作 |
|
space_left_action = |
當(dāng)磁盤空間量達(dá)到space_left中的值時,采取這個動作。有效值為IGNORE、SYSLOG、EMAIL、SUSPEND、SINGLE和HALT。如果設(shè)置為IGNORE,則不采取動作。如果設(shè)置為SYSLOG,則向系統(tǒng)日志/var/log/messages寫一條警告消息。如果設(shè)置為EMAIL,則從action_mail_acct向這個地址發(fā)送一封電子郵件,并向/var/log/messages中寫一條警告消息。如果設(shè)置為SUSPEND,則不再向?qū)徲嬋罩疚募袑懢嫦ⅰH绻O(shè)置為SINGLE,則系統(tǒng)將在單用戶模式下。如果設(shè)置為SALT,則系統(tǒng)會關(guān)閉 |
|
action_mail_acct = |
負(fù)責(zé)維護審計守護進程和日志的管理員的電子郵件地址。如果地址沒有主機名,則假定主機名為本地地址,比如root。必須安裝sendmail并配置為向指定電子郵件地址發(fā)送電子郵件 |
|
admin_space_left = |
以兆字節(jié)表示的磁盤空間數(shù)量。用這個選項設(shè)置比space_left_action更多的主動性動作,以防萬一space_left_action沒有讓管理員釋放任何磁盤空間。這個值應(yīng)小于space_left_action。如果達(dá)到這個水平,則會采取admin_space_left_ action所指定的動作 |
|
admin_space_left_action = |
當(dāng)自由磁盤空間量達(dá)到admin_space_left指定的值時,則采取動作。有效值為IGNORE、SYSLOG、EMAIL、SUSPEND、SINGLE和HALT |
|
disk_full_action = |
如果含有這個審計文件的分區(qū)已滿,則采取這個動作。可能值為IGNORE、SYSLOG、SUSPEND、SINGLE和HALT |
|
disk_error_action = |
如果在寫審計日志或循環(huán)日志文件時檢測到錯誤時采取的動作。值必須是IGNORE、SYSLOG、SUSPEND、SINGLE和HALT之一 |
說明: /etc/sysconfig/auditd文件可以用來設(shè)置帶EXTRAOPTIONS參數(shù)的auditd的命令行選項。唯一的命令行選項-f以調(diào)試模式安排守護進程。如果啟用了調(diào)試模式,則會出現(xiàn)標(biāo)準(zhǔn)錯誤消息而不是日志文件。AUDITD_LANG設(shè)置值可以用來修改守護進程的位置。如果設(shè)置為none,則所有位置信息會從審計環(huán)境中刪除。如果AUDITD_CLEAN _STOP選項設(shè)置為yes,則當(dāng)用service auditd stop命令停止守護進程時,會刪除審計規(guī)則與觀察器。
(3)審計規(guī)則文件/etc/audit/audit.rules
要添加審計規(guī)則,可在/etc/audit/audit.rules文件中用下面的語法:
-a <list>,<action> <options>
以下在 CentOS 6 下的 audit.rules 下配置,請根據(jù)不同的環(huán)境進行修改。
添加基本的審計配置參數(shù)
-D
-b 8192
-f 1
-e 1
添加 audit 日志文件和配置文件的審計
-w /var/log/audit/
-w /etc/audit/auditd.conf -p rxwa
-w /etc/audit/audit.rules -p rxwa
-w /etc/passwd -p rwxa
-w /etc/sysconfig/
注意:監(jiān)控系統(tǒng)調(diào)用可能會引起高負(fù)荷的日志活動,這會讓內(nèi)核承受更大的負(fù)荷。所以要慎重衡量哪些系統(tǒng)調(diào)用需要放到 audit.rules 中。如果審計的是目錄的話,只能對該目錄本身的屬性進行審計,也就是諸如擁有者,目錄權(quán)限之類的進行審計,并不能審計目錄下面的文件。如果想審計下面的文件,需要一一列出。另外不支持通配符/正則。
監(jiān)控其他的系統(tǒng)調(diào)用
-a entry,always -F arch=b64 -S clone -S fork -S vfork
-a entry,always -S umask
-a entry,always -S adjtimex -S settimeofday
以上的都設(shè)置完畢了,就可以生成各種報告了。
(4) 啟動auditd守護進程
#service auditd start
如果在守護進程運行時您添加了觀察器/etc/audit/audit.rules,則一定要以根用戶身份用service auditd restart命令啟用修改。也可以用service auditd reload命令,但是它不會通知您關(guān)于配置文件錯誤的消息。
要使它自動在運行時啟動,則應(yīng)作為根用戶執(zhí)行命令:
chkconfig auditd on
要停止它,可使用service auditd stop命令,要驗證規(guī)則與觀察器已經(jīng)修改,應(yīng)以根用戶身份執(zhí)行auditctl -1命令列出所有活動的規(guī)則和觀察器。
auditctl -1#p#
三、用戶空間審計系統(tǒng)的使用實例
1 auditctl命令實例:
auditctl用于對kernel中的audit進行控制,可以用來獲取audit狀態(tài)和增刪audit規(guī)則。auditctl命令控制行為、得到狀態(tài)、從內(nèi)核審計系統(tǒng)增加或刪除規(guī)則。命令格式如下:
auditctl [options]
auditctl的命令行選項(options)很多,例如:
-e [0|1]表示停止或啟動內(nèi)核審計功能;-a表示將規(guī)則追加到鏈表;-S表示系統(tǒng)調(diào)用號或名字;-F表示規(guī)則域。-w表示為文件系統(tǒng)對象<path>插入一個watch(監(jiān)視)。-p 表示設(shè)置文件權(quán)限。-k key 表示設(shè)置審計規(guī)則上的過濾關(guān)鍵詞key,key是不超過32字節(jié)長的任意字符串,它能唯一鑒別由watch產(chǎn)生的審計記錄 。-D 表示刪除所有的規(guī)則和watch 。-s 表示報告狀態(tài) 。
下面是幾個例子:
先查看audit運行狀態(tài)
# auditctl -s
AUDIT_STATUS: enabled=1 flag=1 pid=1585 rate_limit=0 backlog_limit=256 lost=0 backlog=0
通過enabled flag rate_limit backlog_limit lost backlog參數(shù)可以得知audit運行狀態(tài)是否正常。
從 auditctl 命令參數(shù)可以看到
enabled值為 [0|1] 啟用/禁用audit審核.
flag值為 [0.1.2] 設(shè)置失敗標(biāo)記的等級,有0,1,2三個值,0是不輸出日志,1為輸出printk日志,2為最高級,會大量輸出日志信息。這個選項用于設(shè)置audit獲得錯誤的等級.默認(rèn)值為1.在安全環(huán)境下可以設(shè)置為2 。
查看已有的audit規(guī)則
# auditctl -l
添加一條audit規(guī)則,記錄maj用戶的所用open系統(tǒng)調(diào)用
# auditctl -a entry,always -S open -F uid=500
open表示:要查看某一特定用戶打開的文件
在另一個終端以maj用戶登錄,登錄后執(zhí)行一個ls命令即可
刪除這條audit規(guī)則
# auditctl -d entry,always -S open -F uid=500
如不想看到用戶登陸類型的消息,可以如下添加規(guī)則:
#auditctl -a exclude,always -F msgtype=USER_LOGIN
這里過濾是以“消息類型”為對象的。
監(jiān)視/etc/passwd文件被讀、寫、執(zhí)行、修改文件屬性的操作記錄
#auditctl -w /etc/passwd -p rwax
查看程序所有的系統(tǒng)調(diào)用
#auditctl -a entry,always -S all -F pid=1005
查看指定用戶打開的文件
#auditctl -a exit,always -S open -F auid=510
查看不成功的open系統(tǒng)調(diào)用
auditctl -a exit,always -S open -F success!=0
設(shè)置規(guī)則和顯示規(guī)則的命令樣例列出如下:
#auditctl -a entry,always -S all -F pid=1005
#auditctl -l
LIST_RULES: entry,always pid=1005 (0x3ed) syscall=all
查看audit日志文件:
#cat /var/log/audit/audit.log
2 使用aureport 生成報表
要生成審計消息的報表,可使用aureport。為了安全起見/var/log/audit/目錄和其中的所有審計日志文件只對根用戶可讀。因此必須作為根用戶執(zhí)行aureport命令。aureport 命令格式:
aureport [選項]
主要選項:
-a 報告關(guān)于訪問向量緩沖(access vector cache,AVC)的消息
-c報告關(guān)于配置修改的消息
-cr報告關(guān)于crypto事件的消息
-e報告關(guān)于事件的消息
-f報告關(guān)于文件的消息
-h報告關(guān)于主機的消息
-l報告關(guān)于登錄的消息
-m報告關(guān)于賬戶修改的消息
-ma報告關(guān)于Mandatory Access Control(MAC)事件的消息
-p報告關(guān)于進程的消息
-s報告關(guān)于系統(tǒng)調(diào)用的消息
-tm報告關(guān)于終端的消息
如果執(zhí)行aureport時沒有使用任何選項,則會顯示如匯總報表。
要顯示每個日志的啟動和停止時間,可以添加-t選項:
aureport -<flag> -i -t
要僅顯示失敗事件,則使用- -failure,注意這個選項前面有兩條虛線而不是一條:
aureport -<flag> -i --failed
要僅顯示成功事件,則使用- -success,注意這個選項前面有兩條虛線而不是一條:
aureport -<flag> -i --success
要產(chǎn)生來自一個日志文件的報表而不是默認(rèn)報表,則可用-if選項指定它:
aureport -<flag> -i -if /var/log/audit/audit.log.1
下面是一些實際的例子:
生成一段特定時間內(nèi)的報告
# aureport -ts 8:00 -te 17:30 -f -i
顯示失敗事件
# aureport –-failed
顯示成功事件
# aureport –-success
列出未被成功訪問的文件
# aureport -f -i –-failed --summary
還可以圖形化報告,下載如下腳本:
# wget http://people.redhat.com/sgrubb/audit/visualize/mkbar
#chmod +x mkbar
在rhel和 centos 上需要安裝 gnuplot
# yum install gnuplot
生成整體的事件報告
# aureport -e -i --summary | /path/mkbar events
系統(tǒng)會生成一個圖像文件events.png如圖2 。
圖2 整體的事件報告圖像文件
生成文件事件報告
# aureport -f -i --summary | /path/mkbar files
生成登陸事件報告
# aureport -l -i --summary | /path/mkbar login
生成用戶事件報告
# aureport -u -i --summary | /path/mkbar users
生成系統(tǒng)調(diào)用事件報告
# aureport -s -i --summary | /path/mkbar syscalls
要了解不同 audit 對象之間的關(guān)系,比如用戶跟系統(tǒng)調(diào)用,可以使用 mkgraph 腳本
使用 mkgraph 要用到 graphviz請先配置好再使用:
# wget http://people.redhat.com/sgrubb/audit/visualize/mkgraph
##chmod +x mkgraph
例如users 和 executables關(guān)系
# aureport -u -i | awk '/^[0-9]/ { print $4" "$7 }' | sort | uniq | mkgraph users_vs_exec
審計守護進程將關(guān)于這些事件的日志消息寫到專門的日志文件中。然后可以用aureport和ausearch實用程序生成報表來找到失敗的系統(tǒng)調(diào)用,以確定誰在訪問文件以及訪問頻率如何,執(zhí)行程序是成功的還是失敗等。舉個安全管理的例子,如果使用aureport命令發(fā)現(xiàn)如下字段信息:
Number of logins: 111
Number of failed logins: 111
Number of authentications: 111
Number of failed authentications:111
表示111次登錄并且全部失敗, (我們知道一個正常用戶不可能連續(xù)登錄系統(tǒng)111次并且每次都失敗而且連續(xù)不斷)那么系統(tǒng)可能遭到暴力口令登錄 。
3 使用ausearch命令使用搜索記錄
ausearch的語法列出如下:
ausearch [ options ]
其中,options表示選項值,如:-a <audit event id>、-f <file name>等。
除了生成事件報表并用aureport匯總外,管理員也可以用ausearch搜索審計記錄。以根用戶身份執(zhí)行ausearch命令,當(dāng)顯示結(jié)果時,每個記錄用4條虛線組成的一行隔開,每個記錄前均顯示時間標(biāo)記。圖3 是ausearch -x su中的結(jié)果 。
圖3 ausearch -x su中的結(jié)果
設(shè)置 Keys 來管理審計事件記錄
假設(shè)你在 audit.rules 下加了如下的一條規(guī)則
-w /etc/audit/audit.rules -p wa
如果沒有 key,如果要查找 SYSCALL 或者 PATH 事件,你可能要使用 grep 等類似的工具才能過濾到你想要的內(nèi)容。使用 key 就能簡化上述的過程
-w /etc/audit/audit.rules -p wa -k CFG_audit.rules
-k 后面的內(nèi)容是你自己定義的。現(xiàn)在要找特定的內(nèi)容就容易多了
# ausearch -k CFG_audit.rules
4 使用seaudit工具查看Linux 用戶空間審計系統(tǒng)信息
seaudit是SElinux故障診斷工具包(setools-gui)的組件。打開seaudit工具可以看到許多Linux 用戶空間審計系統(tǒng)信息,seaudit工具可以讀取/var/log/audit/audit.log,方法是從file菜單選擇“open log “打開/var/log/audit/audit.log seaudit工作界面如圖4。
圖4使用seaudit工具查看Linux安全審計信息
使用seaudit工具也可以生成報表方法是從tools菜單選擇“Creat Report “如圖5 。
圖5 使用seaudit工具生成報表
可以使用瀏覽器查看生成的報表文件如圖6 。
圖6 使用瀏覽器查看生成的報表文件
總結(jié):Linux提供了用來記錄系統(tǒng)安全信息的審計系統(tǒng),審計系統(tǒng)分為用戶空間和內(nèi)核空間審計系統(tǒng),用戶空間審計系統(tǒng)用來設(shè)置規(guī)則和審計系統(tǒng)狀態(tài)、將內(nèi)核審計系 統(tǒng)傳來的審計消息寫入log文件。內(nèi)核審計系統(tǒng)用于產(chǎn)生和過濾內(nèi)核的各種審計消息。本文重點介紹Linux用戶空間審計系統(tǒng)的使用。另外Linux用戶空間審計系統(tǒng)通常是和Selinux系統(tǒng)配合使用的 。
