當前位置：首頁 > 运维知识 > linux >内容正文

linux

在linux c 以结构体形式写文件结构体参数如何在函数中传递,Linux安全审计机制模块实现分析(16)-核心文件之三auditsc.c文件描述及具体变量、函数定义...

發布時間：2025/3/20 linux 42 豆豆

生活随笔收集整理的這篇文章主要介紹了在linux c 以结构体形式写文件结构体参数如何在函数中传递,Linux安全审计机制模块实现分析(16)-核心文件之三auditsc.c文件描述及具体变量、函数定义... 小編覺得挺不錯的,現在分享給大家,幫大家做個參考.

原標題：Linux安全審計機制模塊實現分析(16)-核心文件之三auditsc.c文件描述及具體變量、函數定義

2.4.3文件三auditsc.c2.4.3.1 文件描述

kernel/auditsc.c

static void audit_set_auditable(struct audit_context *ctx)

功能：把進程審計上下文的狀態設置為可審計的(審計上下文將在系統調用結束時被寫出)。

static int audit_filter_rules(struct task_struct *tsk, struct audit_krule *rule, struct audit_context*ctx, struct audit_names *name, enum audit_state *state,bool task_creation)

功能：確定審計上下文中的審計項目是否符合給定的規則(即：這些項目是否應該被審計)

static enum audit_state audit_filter_task(struct task_struct *tsk, char **key)

功能：遍歷task規則鏈表，以確定是否有一條規則要求該進程的某些信息應該被審計。

static enum audit_state audit_filter_syscall(struct task_struct *tsk, struct audit_context *ctx, struct list_head *list)

功能：在系統調用進入或退出時進行規則過濾。

static inline struct audit_context *audit_alloc_context(enum audit_state state)

功能：分配進程審計上下文。在進程創建時，如果進程需要被審計，就調用該函數。

static void audit_log_task_info(struct audit_buffer *ab, struct task_struct *tsk)

功能：將進程的名字以及所有映射到內存的文件的路徑信息生成審計消息。

void __audit_syscall_entry(int arch, int major, unsigned long a1, unsigned long a2, unsigned long 3, unsigned long a4)

功能：進入系統調用時執行的函數，把程序的執行信息、審計消息的當前序列號，查詢規則鏈表后獲得的對進程的審計項目應采取的動作等信息暫存到審計上下文中。

void __audit_syscall_exit(int success, long return_code)

功能：系統調用結束時調用的函數。如果審計上下文的狀態是AUDIT_RECORD_CONTEXT，就將上下文中的信息全部寫出。

2.4.3.2主要變量及宏定義

int audit_n_rules; //審計系統中的規則總數

2.4.3.3結構體定義

struct audit_names { //進程執行時的審計項目

struct list_head list;// 用來形成鏈表audit_context->names_list

const char*name; //當調用getname()時，這個指針指向名字

unsigned longino; //當調用path_lookup()時，把inode信息和dev信息保存下來，以下類似

dev_tdev;

umode_tmode;

uid_tuid;

gid_tgid;

dev_trdev;

u32osid;

struct audit_cap_data fcap; //保存能力數據

unsigned intfcap_ver;

intname_len;//審計項目名字長度

boolname_put;//是否調用__putname()釋放名字，如果否，可以在系統調用結束時釋放*/

boolshould_free;

};

struct audit_aux_data { //進程審計輔助數據，是所有進程審計輔助數據的基類

struct audit_aux_data*next;

inttype; //數據的類型

};

struct audit_aux_data_execve { //記錄程序執行的進程審計輔助數據

struct audit_aux_datad; //繼承基類

int argc; //程序執行的參數

int envc; //程序執行的環境變量

struct mm_struct *mm; 程序執行的內存映射

};

struct audit_context { //進程審計上下文

intdummy;//必須是第一個元素

intin_syscall;//進程是否在系統調用中

enum audit_state state, current_state; //審計狀態

unsigned intserial; //審計消息的序列號

intmajor; //系統調用號

struct timespecctime; // 系統調用進入的時間

unsigned longargv[4]; /* 系統調用參數*/

longreturn_code;/* 系統調用返回碼*/

u64prio; /*審計消息優先級*/

intreturn_valid; /* 返回是否有效*/

struct audit_names preallocated_names[AUDIT_NAMES]; /*審計項目的預分配鏈表*/

intname_count; /*審計項目的總數*/

struct list_head names_list;/* 所有的審計項目*/

char *filterkey;/*觸發記錄的關鍵詞*/

struct pathpwd; /*當前工作路徑*/

struct audit_context *previous; /* 上一個審計上下文，系統調用嵌套時使用*/

struct audit_aux_data *aux; /*進程審計輔助數據*/

struct sockaddr_storage *sockaddr;

/* 以下是進程的有關數據*/

pid_tpid, ppid;

uid_tuid, euid, suid, fsuid;

gid_tgid, egid, sgid, fsgid;

unsigned longpersonality;

intarch;

pid_ttarget_pid;

uid_ttarget_auid;

uid_ttarget_uid;

unsigned inttarget_sessionid;

u32target_sid;

chartarget_comm[TASK_COMM_LEN];

……

};

2.4.3.4外部函數

struct sk_buff *audit_make_reply(int pid, int seq, int type, int done,

int multi, const void *payload, int size)

功能：生成應答消息。

2.4.3.5內部函數