原標(biāo)題：Linux安全審計(jì)機(jī)制模塊實(shí)現(xiàn)分析(16)-核心文件之三auditsc.c文件描述及具體變量、函數(shù)定義

2.4.3文件三auditsc.c2.4.3.1 文件描述

kernel/auditsc.c

static void audit_set_auditable(struct audit_context *ctx)

功能：把進(jìn)程審計(jì)上下文的狀態(tài)設(shè)置為可審計(jì)的(審計(jì)上下文將在系統(tǒng)調(diào)用結(jié)束時(shí)被寫出)。

static int audit_filter_rules(struct task_struct *tsk, struct audit_krule *rule, struct audit_context*ctx, struct audit_names *name, enum audit_state *state,bool task_creation)

功能：確定審計(jì)上下文中的審計(jì)項(xiàng)目是否符合給定的規(guī)則(即：這些項(xiàng)目是否應(yīng)該被審計(jì))

static enum audit_state audit_filter_task(struct task_struct *tsk, char **key)

功能：遍歷task規(guī)則鏈表，以確定是否有一條規(guī)則要求該進(jìn)程的某些信息應(yīng)該被審計(jì)。

static enum audit_state audit_filter_syscall(struct task_struct *tsk, struct audit_context *ctx, struct list_head *list)

功能：在系統(tǒng)調(diào)用進(jìn)入或退出時(shí)進(jìn)行規(guī)則過濾。

static inline struct audit_context *audit_alloc_context(enum audit_state state)

功能：分配進(jìn)程審計(jì)上下文。在進(jìn)程創(chuàng)建時(shí)，如果進(jìn)程需要被審計(jì)，就調(diào)用該函數(shù)。

static void audit_log_task_info(struct audit_buffer *ab, struct task_struct *tsk)

功能：將進(jìn)程的名字以及所有映射到內(nèi)存的文件的路徑信息生成審計(jì)消息。

void __audit_syscall_entry(int arch, int major, unsigned long a1, unsigned long a2, unsigned long 3, unsigned long a4)

功能：進(jìn)入系統(tǒng)調(diào)用時(shí)執(zhí)行的函數(shù)，把程序的執(zhí)行信息、審計(jì)消息的當(dāng)前序列號(hào)，查詢規(guī)則鏈表后獲得的對(duì)進(jìn)程的審計(jì)項(xiàng)目應(yīng)采取的動(dòng)作等信息暫存到審計(jì)上下文中。

void __audit_syscall_exit(int success, long return_code)

功能：系統(tǒng)調(diào)用結(jié)束時(shí)調(diào)用的函數(shù)。如果審計(jì)上下文的狀態(tài)是AUDIT_RECORD_CONTEXT，就將上下文中的信息全部寫出。

2.4.3.2主要變量及宏定義

int audit_n_rules; //審計(jì)系統(tǒng)中的規(guī)則總數(shù)

2.4.3.3結(jié)構(gòu)體定義

struct audit_names { //進(jìn)程執(zhí)行時(shí)的審計(jì)項(xiàng)目

struct list_head list;// 用來形成鏈表audit_context->names_list

const char*name; //當(dāng)調(diào)用getname()時(shí)，這個(gè)指針指向名字

unsigned longino; //當(dāng)調(diào)用path_lookup()時(shí)，把inode信息和dev信息保存下來，以下類似

dev_tdev;

umode_tmode;

uid_tuid;

gid_tgid;

dev_trdev;

u32osid;

struct audit_cap_data fcap; //保存能力數(shù)據(jù)

unsigned intfcap_ver;

intname_len;//審計(jì)項(xiàng)目名字長(zhǎng)度

boolname_put;//是否調(diào)用__putname()釋放名字，如果否，可以在系統(tǒng)調(diào)用結(jié)束時(shí)釋放*/

boolshould_free;

};

struct audit_aux_data { //進(jìn)程審計(jì)輔助數(shù)據(jù)，是所有進(jìn)程審計(jì)輔助數(shù)據(jù)的基類

struct audit_aux_data*next;

inttype; //數(shù)據(jù)的類型

};

struct audit_aux_data_execve { //記錄程序執(zhí)行的進(jìn)程審計(jì)輔助數(shù)據(jù)

struct audit_aux_datad; //繼承基類

int argc; //程序執(zhí)行的參數(shù)

int envc; //程序執(zhí)行的環(huán)境變量

struct mm_struct *mm; 程序執(zhí)行的內(nèi)存映射

};

struct audit_context { //進(jìn)程審計(jì)上下文

intdummy;//必須是第一個(gè)元素

intin_syscall;//進(jìn)程是否在系統(tǒng)調(diào)用中

enum audit_state state, current_state; //審計(jì)狀態(tài)

unsigned intserial; //審計(jì)消息的序列號(hào)

intmajor; //系統(tǒng)調(diào)用號(hào)

struct timespecctime; // 系統(tǒng)調(diào)用進(jìn)入的時(shí)間

unsigned longargv[4]; /* 系統(tǒng)調(diào)用參數(shù)*/

longreturn_code;/* 系統(tǒng)調(diào)用返回碼*/

u64prio; /*審計(jì)消息優(yōu)先級(jí)*/

intreturn_valid; /* 返回是否有效*/

struct audit_names preallocated_names[AUDIT_NAMES]; /*審計(jì)項(xiàng)目的預(yù)分配鏈表*/

intname_count; /*審計(jì)項(xiàng)目的總數(shù)*/

struct list_head names_list;/* 所有的審計(jì)項(xiàng)目*/

char *filterkey;/*觸發(fā)記錄的關(guān)鍵詞*/

struct pathpwd; /*當(dāng)前工作路徑*/

struct audit_context *previous; /* 上一個(gè)審計(jì)上下文，系統(tǒng)調(diào)用嵌套時(shí)使用*/

struct audit_aux_data *aux; /*進(jìn)程審計(jì)輔助數(shù)據(jù)*/

struct sockaddr_storage *sockaddr;

/* 以下是進(jìn)程的有關(guān)數(shù)據(jù)*/

pid_tpid, ppid;

uid_tuid, euid, suid, fsuid;

gid_tgid, egid, sgid, fsgid;

unsigned longpersonality;

intarch;

pid_ttarget_pid;

uid_ttarget_auid;

uid_ttarget_uid;

unsigned inttarget_sessionid;

u32target_sid;

chartarget_comm[TASK_COMM_LEN];

……

};

2.4.3.4外部函數(shù)

struct sk_buff *audit_make_reply(int pid, int seq, int type, int done,

int multi, const void *payload, int size)

功能：生成應(yīng)答消息。

2.4.3.5內(nèi)部函數(shù)

static void audit_set_auditable(struct audit_context *ctx)

功能：把進(jìn)程審計(jì)上下文的狀態(tài)設(shè)置為可審計(jì)的(審計(jì)上下文將在系統(tǒng)調(diào)用結(jié)束時(shí)被寫出)。

static int audit_filter_rules(struct task_struct *tsk, struct audit_krule *rule, struct audit_context*ctx, struct audit_names *name, enum audit_state *state,bool task_creation)

功能：確定審計(jì)上下文中的審計(jì)項(xiàng)目是否符合給定的規(guī)則(即：這些項(xiàng)目是否應(yīng)該被審計(jì))

static enum audit_state audit_filter_task(struct task_struct *tsk, char **key)

功能：遍歷task規(guī)則鏈表，以確定是否有一條規(guī)則要求該進(jìn)程的某些信息應(yīng)該被審計(jì)。

static enum audit_state audit_filter_syscall(struct task_struct *tsk, struct audit_context *ctx, struct list_head *list)

功能：在系統(tǒng)調(diào)用進(jìn)入或退出時(shí)進(jìn)行規(guī)則過濾。

static inline struct audit_context *audit_alloc_context(enum audit_state state)

功能：分配進(jìn)程審計(jì)上下文。在進(jìn)程創(chuàng)建時(shí)，如果進(jìn)程需要被審計(jì)，就調(diào)用該函數(shù)。

static void audit_log_task_info(struct audit_buffer *ab, struct task_struct *tsk)

功能：將進(jìn)程的名字以及所有映射到內(nèi)存的文件的路徑信息生成審計(jì)消息。

void __audit_syscall_entry(int arch, int major, unsigned long a1, unsigned long a2, unsigned long 3, unsigned long a4)

功能：進(jìn)入系統(tǒng)調(diào)用時(shí)執(zhí)行的函數(shù)，把程序的執(zhí)行信息、審計(jì)消息的當(dāng)前序列號(hào)，查詢規(guī)則鏈表后獲得的對(duì)進(jìn)程的審計(jì)項(xiàng)目應(yīng)采取的動(dòng)作等信息暫存到審計(jì)上下文中。

void __audit_syscall_exit(int success, long return_code)

功能：系統(tǒng)調(diào)用結(jié)束時(shí)調(diào)用的函數(shù)。如果審計(jì)上下文的狀態(tài)是AUDIT_RECORD_CONTEXT，就將上下文中的信息全部寫出。

責(zé)任編輯：

總結(jié)

以上是生活随笔為你收集整理的在linux c 以结构体形式写文件 结构体参数如何在函数中传递,Linux安全审计机制模块实现分析(16)-核心文件之三auditsc.c文件描述及具体变量、函数定义...的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。