Analysis of the Linux Audit System
1 Introduction 1 1.1 Motivation and Objectives . . . . . . . . . . . . . . . . . . . . . . . . . 1 1.2 Structure of the Report . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 2 Background 3 2.1 The Importance Of Operating Systems Auditing Mechanisms . . . . 3 2.2 Systems Auditing Requirements . . . . . . . . . . . . . . . . . . . . . 3 2.3 The Linux Audit System . . . . . . . . . . . . . . . . . . . . . . . . . . 8 2.4 Available Enhancements To The Linux Audit System . . . . . . . . . 10 2.5 Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 3 Linux Audit System 13 3.1 Kernel Audit Functionality . . . . . . . . . . . . . . . . . . . . . . . . 13 3.2 User-space Audit Functionality . . . . . . . . . . . . . . . . . . . . . . 18 3.3 Integration with SELinux . . . . . . . . . . . . . . . . . . . . . . . . . . 23 3.4 Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24 4 Analysis Of the Linux Audit System Features 25 4.1 Events to audit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 4.2 Contents of audit records . . . . . . . . . . . . . . . . . . . . . . . . . . 27 4.3 Generation of audit records . . . . . . . . . . . . . . . . . . . . . . . . 28 4.4 Time Synchronization . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 4.5 Log access for review . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29 4.6 Prevention of audit data loss . . . . . . . . . . . . . . . . . . . . . . . . 30 4.7 Protection of audit logs . . . . . . . . . . . . . . . . . . . . . . . . . . . 30 4.8 Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31 5 Attacks On the Linux Audit System 33 5.1 Silently disabling the Linux Audit System . . . . . . . . . . . . . . . . 33 5.2 Modification of audit records . . . . . . . . . . . . . . . . . . . . . . . 39 5.3 Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40 6 Improving the Linux Audit System 43 6.1 Authenticating User-space programs . . . . . . . . . . . . . . . . . . . 43 6.2 Protecting the audit state . . . . . . . . . . . . . . . . . . . . . . . . . . 45 6.3 Integrity of audit records . . . . . . . . . . . . . . . . . . . . . . . . . . 49 6.4 Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50 7 Conclusion