Как работает SNARE

SNARE в варианте для Linux использует три компонента:

n  Патч к ядру (в версиях 0.9.3 и выше), ранее для этих целей использовался динамически загружаемый модуль ядра auditmodule.o, который можно было установить без перекомпиляции ядра. Разработчики стремятся сделать систему контроля как можно более легкой и универсальной, способной работать как на маломощной рабочей станции, так и загруженном сервере, этим вызвано такое изменение в подходе.

n  auditd – демон, являющийся front end к модулю (находится в пакете snare-core).

n  snare – утилита графической конфигурации и просмотра отчетов (пакет snare-gui).

Модуль проверки, работая в пространстве ядра, отлавливает критические системные вызовы вроде «execve» (выполнение команды), «open» (открыть файл), «mkdir» (создать каталог) и отправляет результат к подпрограмме, которая собирает всю информацию относительно процесса и пользователя, его запустившего или просто попытавшегося выполнить рассматриваемый системный вызов. Этот контрольный модуль сохраняет собранную информацию во временном буфере, который и считывается демоном auditd. Демон читает данные от системы контроля через устройство /proc/snare (ранее /proc/audit), преобразовывая двоичные контрольные данные в понятный текстовый формат, и отделяет информацию в ряд лексем, используя для отделения данных и улучшения дальнейшей обработки информации три разделителя: табуляцию, запятые и пробел. Получаем приблизительно следующее:

grinder   LinuxAudit    objective,clear,Fri Dec  17 22:33:15 2004,

The program /usr/bin/links been executed by the user leigh    event,execve(),

Fri Dec  17 22:33:15 2004     user,leigh(500),users(500),leigh(500),users(500)   

process,478,sh    path,/usr/bin/links    arguments,links    return,0    sequence,11256