當(dāng)前位置：首頁 > 运维知识 > linux >内容正文

linux

在linux c 以结构体形式写文件结构体参数如何在函数中传递,Linux安全审计机制模块实现分析(16)-核心文件之三auditsc.c文件描述及具体变量、函数定义...

發(fā)布時間：2025/3/20 linux 35 豆豆

生活随笔收集整理的這篇文章主要介紹了在linux c 以结构体形式写文件结构体参数如何在函数中传递,Linux安全审计机制模块实现分析(16)-核心文件之三auditsc.c文件描述及具体变量、函数定义... 小編覺得挺不錯的,現(xiàn)在分享給大家,幫大家做個參考.

原標(biāo)題：Linux安全審計機(jī)制模塊實現(xiàn)分析(16)-核心文件之三auditsc.c文件描述及具體變量、函數(shù)定義

2.4.3文件三auditsc.c2.4.3.1 文件描述

kernel/auditsc.c

static void audit_set_auditable(struct audit_context *ctx)

功能：把進(jìn)程審計上下文的狀態(tài)設(shè)置為可審計的(審計上下文將在系統(tǒng)調(diào)用結(jié)束時被寫出)。

static int audit_filter_rules(struct task_struct *tsk, struct audit_krule *rule, struct audit_context*ctx, struct audit_names *name, enum audit_state *state,bool task_creation)

功能：確定審計上下文中的審計項目是否符合給定的規(guī)則(即：這些項目是否應(yīng)該被審計)

static enum audit_state audit_filter_task(struct task_struct *tsk, char **key)

功能：遍歷task規(guī)則鏈表，以確定是否有一條規(guī)則要求該進(jìn)程的某些信息應(yīng)該被審計。

static enum audit_state audit_filter_syscall(struct task_struct *tsk, struct audit_context *ctx, struct list_head *list)

功能：在系統(tǒng)調(diào)用進(jìn)入或退出時進(jìn)行規(guī)則過濾。

static inline struct audit_context *audit_alloc_context(enum audit_state state)

功能：分配進(jìn)程審計上下文。在進(jìn)程創(chuàng)建時，如果進(jìn)程需要被審計，就調(diào)用該函數(shù)。

static void audit_log_task_info(struct audit_buffer *ab, struct task_struct *tsk)

功能：將進(jìn)程的名字以及所有映射到內(nèi)存的文件的路徑信息生成審計消息。

void __audit_syscall_entry(int arch, int major, unsigned long a1, unsigned long a2, unsigned long 3, unsigned long a4)

功能：進(jìn)入系統(tǒng)調(diào)用時執(zhí)行的函數(shù)，把程序的執(zhí)行信息、審計消息的當(dāng)前序列號，查詢規(guī)則鏈表后獲得的對進(jìn)程的審計項目應(yīng)采取的動作等信息暫存到審計上下文中。

void __audit_syscall_exit(int success, long return_code)

功能：系統(tǒng)調(diào)用結(jié)束時調(diào)用的函數(shù)。如果審計上下文的狀態(tài)是AUDIT_RECORD_CONTEXT，就將上下文中的信息全部寫出。

2.4.3.2主要變量及宏定義

int audit_n_rules; //審計系統(tǒng)中的規(guī)則總數(shù)

2.4.3.3結(jié)構(gòu)體定義

struct audit_names { //進(jìn)程執(zhí)行時的審計項目

struct list_head list;// 用來形成鏈表audit_context->names_list

const char*name; //當(dāng)調(diào)用getname()時，這個指針指向名字

unsigned longino; //當(dāng)調(diào)用path_lookup()時，把inode信息和dev信息保存下來，以下類似

dev_tdev;

umode_tmode;

uid_tuid;

gid_tgid;

dev_trdev;

u32osid;

struct audit_cap_data fcap; //保存能力數(shù)據(jù)

unsigned intfcap_ver;

intname_len;//審計項目名字長度

boolname_put;//是否調(diào)用__putname()釋放名字，如果否，可以在系統(tǒng)調(diào)用結(jié)束時釋放*/

boolshould_free;

};

struct audit_aux_data { //進(jìn)程審計輔助數(shù)據(jù)，是所有進(jìn)程審計輔助數(shù)據(jù)的基類

struct audit_aux_data*next;

inttype; //數(shù)據(jù)的類型

};

struct audit_aux_data_execve { //記錄程序執(zhí)行的進(jìn)程審計輔助數(shù)據(jù)

struct audit_aux_datad; //繼承基類

int argc; //程序執(zhí)行的參數(shù)

int envc; //程序執(zhí)行的環(huán)境變量

struct mm_struct *mm; 程序執(zhí)行的內(nèi)存映射

};

struct audit_context { //進(jìn)程審計上下文

intdummy;//必須是第一個元素

intin_syscall;//進(jìn)程是否在系統(tǒng)調(diào)用中

enum audit_state state, current_state; //審計狀態(tài)

unsigned intserial; //審計消息的序列號

intmajor; //系統(tǒng)調(diào)用號

struct timespecctime; // 系統(tǒng)調(diào)用進(jìn)入的時間

unsigned longargv[4]; /* 系統(tǒng)調(diào)用參數(shù)*/

longreturn_code;/* 系統(tǒng)調(diào)用返回碼*/

u64prio; /*審計消息優(yōu)先級*/

intreturn_valid; /* 返回是否有效*/

struct audit_names preallocated_names[AUDIT_NAMES]; /*審計項目的預(yù)分配鏈表*/

intname_count; /*審計項目的總數(shù)*/

struct list_head names_list;/* 所有的審計項目*/

char *filterkey;/*觸發(fā)記錄的關(guān)鍵詞*/

struct pathpwd; /*當(dāng)前工作路徑*/

struct audit_context *previous; /* 上一個審計上下文，系統(tǒng)調(diào)用嵌套時使用*/

struct audit_aux_data *aux; /*進(jìn)程審計輔助數(shù)據(jù)*/

struct sockaddr_storage *sockaddr;

/* 以下是進(jìn)程的有關(guān)數(shù)據(jù)*/

pid_tpid, ppid;

uid_tuid, euid, suid, fsuid;

gid_tgid, egid, sgid, fsgid;

unsigned longpersonality;

intarch;

pid_ttarget_pid;

uid_ttarget_auid;

uid_ttarget_uid;

unsigned inttarget_sessionid;

u32target_sid;

chartarget_comm[TASK_COMM_LEN];

……

};

2.4.3.4外部函數(shù)

struct sk_buff *audit_make_reply(int pid, int seq, int type, int done,

int multi, const void *payload, int size)

功能：生成應(yīng)答消息。

2.4.3.5內(nèi)部函數(shù)