最終更新:2010-09-11 (土) 19:23:40 (4974d)
Audit
Top / Audit
ユーザーの行動やシステム内にあるプログラムの動作を記録する
Linux Auditデーモンの基礎は、カーネルに対して発行されるシステムコールのすべてを監視することにある。システム・コールというのはユーザー空間で動作しているプログラムがカーネルの機能を利用するための手段で、アプリケーションは直接または間接にこのシステム・コールを介してカーネルの提供するシステム資源への低レベル・アクセスを利用する。Linux Auditデーモンは、この仕組みを利用しているわけだ。このLinux AuditデーモンをSecurity-Enhanced Linux(SELinux)に組み込むと、SELinuxポリシーに対する違反を記録することができる。
Linux AuditデーモンはLinuxカーネルの一部であるため、広く使われているLinuxディストリビューションであれば、そのほとんどにデフォルトで含まれている。カーネルの一部であることからオーバーヘッドが少なく回避されにくいという特徴がある。ただし、この種のソフトウェアなら通常持っているはずの機能が欠けている。これは、厳密なセキュリティー評価による認証を受けるためには簡素に作る必要があり、そのように設計されているからだ。