Особенности реализации системы аудита событий
advertisement
УДК 004.056:378(06) Проблемы информационной безопасности в системе высшей школы М.И. ТЕНЕТКО, О.Ю. ПЕСКОВА Таганрогский государственный радиотехнический университет ОСОБЕННОСТИ РЕАЛИЗАЦИИ СИСТЕМЫ АУДИТА СОБЫТИЙ БЕЗОПАСНОСТИ В ОС FREEBSD 7.X В работе рассматриваются особенности реализации системы аудита событий безопасности в операционной системе FreeBSD 7.x CURRENT. Возможность проведения аудита событий является абсолютно необходимым свойством защищенной операционной системы, согласно Общим Критериям. Ветвь FreeBSD 7-CURRENT включает в себя поддержку аудита событий безопасности [1], которая отвечает классу C2 TCSEC [2]. Система аудита в FreeBSD состоит из следующих компонентов: – очередь записей аудита, аудит системных вызовов; – библиотека API BSM. документация, набор утилит; – конфигурационные файлы; – демон управления аудитом. Библиотека API BSM описывает набор системных вызовов и библиотечных интерфейсов, предназначенных для управления записями аудита, а также формат файла-потока, позволяющего реализовать расширяемый и обобщенный процесс аудита. Фактически, эта библиотека является открытой реализацией Sun Basic Security Module (BSM) Audit API, который считается де-факто стандартом API для аудита. Демон управления аудитом auditd запускается на начальном этапе загрузки системы. Основное его назначение — управление журнальными файлами, запуск и останов системы аудита. Демон добавляет записи в журнал аудита при каждом случае запуска и останова системы и ротации журналов, что удовлетворяет требованиям Общих Критериев. События, подлежащие аудиту, ассоциируются с системными вызовами. Выбор системного вызова, подлежащего аудиту, основывается на нескольких факторах. Запись аудита может быть сделана в случае, если вызов пытается получить доступ к защищенному объекту, если для выполнения вызова требуются привилегии суперпользователя или если изменяется конфигурация аудита. Фактически, большинство системных вызовов попадают под эти требования. Существуют классы событий, которые позволяют сконфигурировать предварительный отбор событий. Отбор основывается на обширном наборе категорий, которые включают в себя родственные события аудита. ISBN 5-7262-0711-4. XIV Всероссийская научная конференция 130 УДК 004.056:378(06) Проблемы информационной безопасности в системе высшей школы Помимо этого, каждый пользователь может иметь собственный набор классов событий. Существуют две маски класса событий, связанные с пользовательскими процессами. Одна из этих масок выбирает успешные события, другая выбирает события, завершившиеся неудачей. Использование масок позволяет осуществлять тонкую настройку аудита для каждого отдельного пользователя. Эти маски хранятся как часть блока контроля процессов и устанавливаются при входе пользователя в систему. Журнал событий, записываемый ядром системы аудита, не может быть прочитан или отредактирован как простой текст. Журнал можно просмотреть только с помощью команды praudit. Информация из журналов может быть отфильтрована при помощи команды auditreduce, которая выбирает записи из журналов, основываясь на определённых параметрах, таких как пользователь, время события или тип операции. Исходя из соображений безопасности, запись в журнал аудита производится только ядром системы. Все управление журналом осуществляется даемоном auditd. Единственный способ ротации журналов системы аудита — использование утилиты управления audit. Взаимодействие ядра с демоном аудита происходит с помощью особого файла устройства /dev/audit, взаимодействие демона аудита с ядром происходит с помощью системных вызовов. Файл устройства /dev/audit не подлежит записи; он предназначен только для передачи триггеров от ядра демону. Когда приложение собирается послать триггер демону, триггер пропускается через ядро с помощью системного вызова, и только затем ядро посылает триггер демону. Поскольку запись в журнал аудита производится исключительно ядром, ядро несет ответственность за мониторинг состояния потока журнала и ставит в известность демон аудита о необходимых действиях по обслуживанию журнала. Следует иметь в виду, что ветвь FreeBSD 7.x имеет статус CURRENT, то есть является экспериментальной. В будущем разработчиками планируется улучшить взаимодействие системы аудита с инфраструктурой мандатной модели управления доступом. Кроме того, необходимо расширить поддержку аудита в приложениях, генерирующих события безопасности. Аудит событий безопасности FreeBSD, соответствующий требованиям Общих Критериев, может лечь в основу адаптивной, интеллектуальной системы активного аудита, выполняющей превентивные меры по обеспечению защищенности автоматизированных систем. Список литературы 1. The FreeBSD Handbook. http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook 2. Watson R. N. M., Salamon W. The FreeBSD Audit System. ISBN 5-7262-0711-4. XIV Всероссийская научная конференция 131 УДК 004.056:378(06) Проблемы информационной безопасности в системе высшей школы ISBN 5-7262-0711-4. XIV Всероссийская научная конференция 132
