What is Audit Subsystem? Audit subsystem是Linux kernel 2.6新增的功能，此子系统能记录下将各行程的 系统呼叫参数，档案的操作等，以供事後稽核，SELinux subsystem也依赖Audit subsystem提供AVC。下图为执行Audit subsystem所记录下的数个系统呼叫。 What is Not Audit Subsystem? Audit Subsystem并不是一个像Netfilter的hook机制，我们并不能利用这个Audit subsystem来对各系统呼叫做一些「hook」的动作(想要去改变系统呼叫的参数) 我们仅能观察Audit Subsystem所产生的记录。 Audit Subsystem Trace 我trace的版本是 2.6.17.8，不同的版本可能会有很大的差别。底下的描述也以系统呼 叫稽核(syscall audit)为主，不讨论档案操作稽核，也不讨论audit tool/audit lib。 ... 全文如下 http://gen2linux.blogspot.com/2006_08_01_gen2linux_archive.html -- Red Shirt located. Do you have in sight? Red Shirt confirmed. --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 210.68.188.20 ※ 编辑: gen2linux 来自: 210.68.188.20 (08/21 00:26)