如何使用libaudit?

How to use libaudit?

我正在尝试了解如何使用 libaudit。 我想使用 C/C++ 接收有关用户操作的事件。

我不明白如何设置规则,以及如何获取有关用户操作的信息。

比如我想获取用户创建目录时的信息

    int audit_fd = audit_open();

    struct audit_rule_data *rule = (struct audit_rule_data *) malloc(sizeof(struct audit_rule_data));
    memset(rule, 0, sizeof(struct audit_rule_data));

    audit_rule_syscallbyname_data(rule, "mkdir");
    audit_add_watch_dir(AUDIT_DIR, &rule, "/tmp");
    audit_add_rule_data(audit_fd,
                        rule,
                        AUDIT_FILTER_USER,
                        AUDIT_ALWAYS);

    int rc;
    fd_set read_mask;
    FD_ZERO(&read_mask);
    FD_SET(audit_fd, &read_mask);

    struct timeval t;
    t.tv_sec  = 0;
    t.tv_usec = 300 * 1000;

    do
    {
        rc = select(audit_fd+1, &read_mask, NULL, NULL, &t /*NULL*/);

        struct audit_reply *rep = NULL;
        audit_get_reply(audit_fd, rep, GET_REPLY_NONBLOCKING, 0);

        if (rep != NULL)
        {
            printf("%s", rep->message);
            break;
        }
    }
    while (rc < 0);


    audit_close(audit_fd);

这段代码不起作用,它没有得到 libaudit 的回复,出了什么问题?

实际上,我需要获取有关用户的更多信息:谁登录了,他是什么 运行,他试图更改什么,等等。

我找到了解决办法。这是最小工作代码的示例。

libaudit 为 adding/removing 规则提供接口:

int fd = audit_open();
struct audit_rule_data *rule = new audit_rule_data();

// what directory we will follow.
audit_add_watch_dir(AUDIT_DIR,
                    &rule,
                    "/etc");

// setting rule.
audit_add_rule_data(fd,
                    rule,
                    AUDIT_FILTER_EXIT,
                    AUDIT_ALWAYS);

// or removing rule.
audit_delete_rule_data(fd,
                       rule,
                       AUDIT_FILTER_EXIT,
                       AUDIT_ALWAYS);

audit_close(fd);

要设置某些特定事件并设置额外的过滤器,您需要执行如下操作:

int fd = audit_open();

audit_rule_syscallbyname_data(rule_new, "open");
audit_rule_syscallbyname_data(rule_new, "close");

// Set extra filter, for example, follow the user with id=1000.
char pair[] = "uid=1000";
audit_rule_fieldpair_data(&rule_new, pair, AUDIT_FILTER_EXIT);

audit_add_rule_data(fd, rule_new, AUDIT_FILTER_EXIT, AUDIT_ALWAYS);

audit_close(fd);

要对您需要的规则进行例外处理:

audit_rule_syscallbyname_data(rule, "mkdir");
char pair[] = "path=/etc";
audit_rule_fieldpair_data(&rule,
                          pair,
                          AUDIT_FILTER_EXIT);
audit_add_rule_data(fd,
                    rule,
                    AUDIT_FILTER_EXIT,
                    AUDIT_NEVER);

接收来自审核的消息:

void monitoring(struct ev_loop *loop, struct ev_io *io, int revents)
{
    struct audit_reply reply;

    audit_get_reply(fd, &reply, GET_REPLY_NONBLOCKING, 0);

    if (reply.type != AUDIT_EOE &&
        reply.type != AUDIT_PROCTITLE &&
        reply.type != AUDIT_PATH)
    {
        char *buf = new char[MAX_AUDIT_MESSAGE_LENGTH];

        snprintf(buf,
                 MAX_AUDIT_MESSAGE_LENGTH,
                 "Type=%s Message=%.*s",
                 audit_msg_type_to_name(reply.type),
                 reply.len,
                 reply.message);

        printf("EVENT: %s\n", buf);

    }
}

int main()
{
    struct ev_io monitor;
    fd = audit_open();

    audit_set_pid(fd, getpid(), WAIT_YES);

    loop = ev_default_loop(EVFLAG_NOENV);

    ev_io_init(&monitor, monitoring, fd, EV_READ);
    ev_io_start(loop, &monitor);

    ev_loop(loop, 0);

    audit_close(fd);
    return 0;
}

更新。 如果您不写,您的审核将无法进行:

audit_set_enabled(audit_fd, 1);