• 本文
• リロード
• 差分
• バックアップ
• 名前変更
• リファラ
• 新規ページ
• 編集

Linux

Audit

Top / Audit

ユーザーの行動やシステム内にあるプログラムの動作を記録する

Linux Auditデーモンの基礎は、カーネルに対して発行されるシステムコールのすべてを監視することにある。システム・コールというのはユーザー空間で動作しているプログラムがカーネルの機能を利用するための手段で、アプリケーションは直接または間接にこのシステム・コールを介してカーネルの提供するシステム資源への低レベル・アクセスを利用する。Linux Auditデーモンは、この仕組みを利用しているわけだ。このLinux AuditデーモンをSecurity-Enhanced Linux（SELinux）に組み込むと、SELinuxポリシーに対する違反を記録することができる。

Linux AuditデーモンはLinuxカーネルの一部であるため、広く使われているLinuxディストリビューションであれば、そのほとんどにデフォルトで含まれている。カーネルの一部であることからオーバーヘッドが少なく回避されにくいという特徴がある。ただし、この種のソフトウェアなら通常持っているはずの機能が欠けている。これは、厳密なセキュリティー評価による認証を受けるためには簡素に作る必要があり、そのように設計されているからだ。

参考

• http://sourceforge.jp/magazine/07/06/29/0048209

関連

• SELinux