总第167期
2008年第5期
舰船电子工程
Ship
Electronic
Engineering
V01.28
No.5
147
Linux内核安全审计模块的研究及实现’
杨三胜1’ 万珍珠2’ 高献伟3’
(中国船舶重工集团公司第七二二研究所武汉430079)(中国地质大学(武汉)数理学院物理系2’
武汉430074)
(中国科学院研究生院3’
北京
100039)
摘要分析讨论了Linux系统的内核工作方式及安全隐患。通过可加载内核模块(LKM)的方式,找到了一种对系
统内核进行安全审计的方法,可以控制用户的权限,对用户操作进行审计。在此基础上,可以实现Linux内核安全审计模块
(LKSAM),提高操作系统的安全性,具有一定的应用价值。
关键词可加载内核模块;Linux内核;安全审计模块
中图分类号TP316
Research
and
Implementation
of
Linux
Kernel
Security
Audit
Modules
Yang
Sanshen91)Wan
Zhenzhu2)Gao
Xianwei3)
(CSIC
No.722
Research
Institute¨,Wuhan
430079)
(Department
of
Physics,School
of
Mathematics
and
Physics,China
University
of
Geosciences",Wuhan
430074)
(Graduate
School,Chinese
Academy
of
Sciences”,Beijing
100039)
Abstract
As
an
Open—Sources
operating
system,Linux
is
more
and
more
important
in
the
fields
of
Server.In
this
paper,
we
analyze
the
Linux
kernel’S
working
and
the
Linux’s
security
problems.And
a
method
that
using
the
LKM
to
make
the
audit
of
Linux
kernel
has
been
found
to
control
user’S
accesses
and
operations.Based
OU
that
discussing,a
LKSAM
can
be
implemen-
ted
in
circumstance
of
the
current
OS
to
improve
the
OS’s
security.and
it
has
application
value.
Key
words
LKM,Linux
kenel,LKSAM
Class
Number
TP316
1
引言
Linux作为一种开源的操作系统,在服务器、嵌
入式等领域占据了重要地位,越来越多的系统采用
Linux平台。但是,Linux为人们带来灵活、稳定、易
用等方便的同时,也带来了很多安全隐患。黑客可
以深入研究Linux的漏洞,对系统发起攻击;系统
管理员也可能利用自己的root权限为所欲为。因
此,对于各种合法或者非法用户的操作必须采取防
范措施。
现有的防护手段一般是搜集系统日志信息,根
据这些信息分析异常行为。这些日志可以记录用
户登陆、bash—history、系统报警日志等。但是,黑客
一旦系统被入侵获得root权限,就可以修改甚至删
除这些日志,清除各种痕迹。
现有实现Linux操作系统安全审计技术主要
是通过改造Linux系统内核的方式来实现,即将安
全审计和Linux内核捆绑编译成为一个新的系统
内核来提供给用户。对于每一个不同版本、不同应
用的Linux内核都必须编译一个对应的Linux安全
内核,这需要编译者相当熟悉Linux内核的工作方
式及足够的软件能力和耐心。这样明显与现代操
·收稿日期:2007年11月27日,修回日期:2007年12月26日
作者简介:杨三胜,男,硕士研究生,研究方向:通信安全。万珍珠,女,硕士研究生,研究方向:光电检测。高献伟,
男,硕士研究生,研究方向:通信安全。
万方数据