[发明专利]一种基于Linux安全模块的文件审计、防护方法

说明书

本发明提供一种基于Linux安全模块的文件审计、防护方法，包括如下步骤：安全模块定义文件操作相关的钩子函数；将钩子函数注册到LSM框架中；编译成内核ko模块，以Linux内核ko模块的形式来实现安全访问控制。步骤安全模块定义文件操作相关的钩子函数，包括：定义全局表并在其中指定要实现的钩子函数列表；在指定的钩子函数中，进行文件操作审计；设置钩子函数的返回值来实现文件防护。

技术领域

本发明涉及Linux下的文件审计及防护技术领域，具体涉及一种基于Linux安全模块的文件审计、防护方法。

背景技术

Linux下的文件审计和防护功能，目前实现的方法主要有iNotify和InlineHook等，但这些方法都存在一些问题：iNotify是一个检测文件系统变化的工具，用这个工具可以实现文件审计的功能，但文件防护(如文件防删、防修改、文件隐藏等)功能无法做到，而且它能监控的文件个数有个上限，超出这个阈值的文件不会被监控。

InlineHook是一种钩取(hook)系统函数的技术，通过替换目标函数头部指令实现在函数执行之前跳转到其他的指令区域，执行完毕跳转回到原来的函数，跳转到的指令区域通常是我们自己编写的函数，来完成根据安全策略实现文件审计和防护的功能，由于这种技术需要做指令修改和跳转等操作，所以在稳定性和系统版本兼容等方面存在不足。

发明内容

为了克服上述现有技术中的不足，本发明提供一种基于Linux安全模块的文件审计、防护方法，以解决上述技术问题。

本发明的技术方案是:

一种基于Linux安全模块的文件审计、防护方法，包括如下步骤：

安全模块定义文件操作相关的钩子函数；

将钩子函数注册到LSM框架中；

编译成内核ko模块，以Linux内核ko模块的形式来实现安全访问控制。

进一步的，步骤安全模块定义文件操作相关的钩子函数，包括：

定义全局表并在其中指定要实现的钩子函数列表；

在指定的钩子函数中，进行文件操作审计；

设置钩子函数的返回值来实现文件防护。

进一步的，步骤定义全局表并在其中指定要实现的钩子函数列表中，定义security_operations结构的全局表，指定的钩子函数包括：

文件复制/创建判断函数、文件删除判断函数、目录复制/创建判断函数、目录删除判断函数、文件操作判断函数、文件复制判断函数、文件打开函数、文件修改判断函数。

进一步的，步骤定义全局表并在其中指定要实现的钩子函数列表中，定义security_operations结构的全局表；

设定，文件复制/创建判断函数为inode_create函数；

文件删除判断函数为inode_unlink函数；

目录复制/创建判断函数为inode_mkdir函数；

目录删除判断函数为inode_rmdir函数；

文件操作判断函数为inode_rename函数；

文件复制判断函数-inode_setattr函数；

文件打开函数为file_open函数；

文件修改判断函数为file_permission函数。

进一步的，步骤在指定的钩子函数中，进行文件操作审计，包括：