基于LKM機制的Linux安全模塊的研究

李曉麗

(南通大學，江蘇 南通 226000)

基于LKM機制的Linux安全模塊的研究

李曉麗

(南通大學，江蘇 南通 226000)

近年來，Linux系統由于其出色的穩定性、靈活性和可擴展性，以及較低廉的成本，受到計算機工業界的廣泛關注和應用。但在安全性方面，Linux內核只提供了自主訪問控制以及部分安全機制，這對于Linux系統的安全性是不夠的，影響了Linux系統的進一步發展和更廣泛的應用。文中在深入研究LKM和HOOK技術的基礎上，針對目前Linux系統安全審計方面的不足，設計了一個Linux安全日志模塊。當入侵者通過某用戶賬戶進入Linux服務器系統并嘗試修改文件時，系統會自動生成包含用戶信息的日志記錄文件。該模塊適用于監管長期穩定運行、配置較少需要改動的Linux服務器系統。經系統實測，該安全日志模塊能及時有效地記錄惡意用戶對系統文件的訪問或篡改，為系統的安全審計工作提供有用信息。

可裝載內核模塊；鉤子函數；安全模塊；系統調用；短信報警

0 引 言

Linux是一款免費的操作系統，用戶可以通過網絡或其他途徑免費獲得，并可以任意修改其源代碼。因為它符合IEEE POSIX.1標準[1]，移植性好，目前已被廣泛使用，很多大中型企業的應用服務都是構筑在其之上，例如Web服務、數據庫服務、集群服務等等。但是，相比于Windows操作系統，它的安全問題一直沒有得到很好的解決。基于此，文中在深入研究可加載內核模塊(Loadable Kernel Modules，LKM)的基礎上，使用HOOK技術，構建了一個文件訪問日志記錄模塊[2-3]。如果入侵者通過某用戶賬戶進入服務器系統并嘗試修改文件，則會在相應文件目錄下生成一個含有相關信息的日志記錄，這樣系統就可以在第一時間定位該用戶。

1 LKM

Linux是單內核的操作系統[4]，即整個系統內核都運行于一個單獨的保護域中。相比于微內核的操作系統，單內核由于把所有的系統功能模塊都集中到一起，系統的性能和速度都非常好，但是可擴展性和維護性就相對較差。為了彌補單內核的這個缺點，Linux操作系統使用LKM機制[5-6]，可以在運行時動態地更改Linux。

可動態更改是指允許內核在運行時動態地向其中插入或從中刪除代碼。這些代碼包括相關的子例程、數據、函數入口和函數出口，被一并組合在一個單獨的二進制鏡像中，即所謂的可裝載內核模塊中，或被簡稱為模塊。這是一種區別于一般應用程序的系統級程序，它主要用于擴展Linux的內核功能。LKM的優點是基本內核鏡像可以盡可能小，可以最小化內核的內存占用，只加載需要的元素，可選的功能和驅動程序可以利用模塊形式再提供[7]。模塊允許用戶方便地刪除和重新載入內核代碼，也方便了調試工作，無須重新編譯內核。而且當熱插拔新設備時，可通過命令載入新的驅動程序。

2 相關技術

2.1 系統調用

操作系統中的狀態分為內核態和用戶態。操作系統的主要功能是為管理硬件資源和為應用程序開發人員提供良好的環境來使應用程序具有更好的兼容性。為了達到這個目的，內核提供一系列具備預定功能的多內核函數，通過一組稱為系統調用(system call)的接口呈現給用戶。一般用戶程序只在用戶態下運行，有時需要訪問系統核心功能，這時通過系統調用接口進行系統調用[8-9]。系統調用把應用程序的請求傳給內核，調用相應的內核函數完成所需的處理，將處理結果返回給應用程序[10]。

換言之，系統調用即為用戶空間訪問內核的一種方式，其具體執行過程如圖1所示[11]。

圖1 系統調用過程示意圖

(1)在應用程序中調用用戶空間的庫函數；

(2)庫函數在執行一系列預處理后，取得系統調用號，傳遞相應的參數并執行軟中斷指令INT產生中斷；

(3)Linux系統進行地址空間的轉換和堆棧的切換，執行SAVE_ALL宏定義，從而保存任務現場；

(4)根據系統調用號，從系統調用表找到對應系統調用處理程序的入口地址；

(5)執行系統調用對應的處理程序；

(6)執行RESTORE_ALL宏定義，恢復系統調用前的任務現場并返回用戶模式。

2.2 HOOK

HOOK(鉤子)是一種特殊的消息處理機制。鉤子可以監視系統或進程中的各種事件消息，截獲發往目標窗口的消息并進行處理。這樣，用戶就可以在系統中安裝自定義的鉤子，監視系統中特定事件的發生，完成特定的功能，比如截獲鍵盤、鼠標的輸入，屏幕取詞，日志監視，等等。

HOOKING(掛鉤)實際上是一個處理消息的程序段，通過系統調用，把它掛入系統。每當特定的消息發出，在沒有到達目的窗口前，HOOK函數就先捕獲該消息，亦即HOOK函數先得到控制權。這時HOOK函數既可以加工處理(改變)該消息，也可以不作處理而繼續傳遞該消息，還可以強制結束消息的傳遞。

內核HOOKING原理如圖2所示。

圖2 內核HOOKING原理示意圖

從圖2可以看出，HOOK可用來擴展(或削弱)一個子程序的功能，也可用來修改系統應用程序編程接口(Application Programming Interface，API)的運行效果。

2.3 Linux系統調用HOOK相關技術

Linux系統調用所使用的HOOK技術主要有如下幾種：

1)Kernel Inline Hook。

目前流行和成熟的Kernel Inline Hook技術就是修改內核函數的opcode，通過寫入jmp或push ret等指令跳轉到新的內核函數中，從而達到修改或過濾的功能。具體過程參見圖3。

圖3 Kernel Inline Hook流程圖

2)利用0x80中斷劫持。

要對系統調用(sys_call_table)進行替換，必須要獲取該地址后才可以進行替換。但是Linux 2.6版的內核出于安全的考慮，沒有將系統調用列表基地址的符號sys_call_table導出?？紤]到系統調用都是通過0x80中斷來進行的[12-13]，故通過查找0x80中斷的處理程序來獲得sys_call_table的地址。其基本步驟如下：

(1)獲取中斷描述符表(Interrupt Descriptor Table，IDT)的地址；

(2)從中查找0x80中斷(系統調用中斷)的服務例程(8*0x80偏移)；

(3)搜索該例程的內存空間；

(4)從中獲取sys_call_table(保存所有系統調用例程的入口地址)的地址。

3)利用kprobe機制。

kprobe是一個動態地收集調試和性能信息的工具。它從Dprobe項目派生而來，幾乎可以跟蹤任何函數或被執行的指令以及一些異步事件。

4)LSM Security鉤子技術。

Linux安全模塊(Linux Security Module，LSM)是Linux內核的一個輕量級通用訪問控制框架。它使得各種不同的安全訪問控制模型能夠以Linux可加載內核模塊的形式實現出來。用戶可以根據其需求選擇適合的安全模塊加載到Linux內核中，從而大大提高了Linux安全訪問控制機制的靈活性和易用性。

目前已有很多著名的增強訪問控制系統移植到LSM上實現，包括：POSIX.1e capabilities，安全增強Linux(SELinux)，域和類型增強(the Domain and Type Enhancement，DTE)，Linux入侵檢測系統(Linux Intrusion Detection System，LIDS)。

3 安全模塊設計

在Linux系統中，一般存在多個用戶。為了保障系統安全，要監視系統中的所有非法活動并將其記錄到系統日志中。基于Linux下“一切皆文件”的思想[14]，任何入侵者進入系統后的所有動作都是針對文件的操作。因此，當入侵者通過某個用戶賬戶進入系統并嘗試修改文件時(文中暫不考慮新增文件和刪除文件的情形)，為了能夠在第一時間定位該用戶，在深入研究0x80中斷機制的基礎上，通過在Linux系統內核調用中增加文件訪問/修改記錄日志模塊的方法來實現上述功能[15]。

模塊分三個階段進行設計，其工作流程圖如圖4所示。

(1)安裝階段。

在模塊安裝階段，首先對環境變量進行初始化，然后查找系統調用列表sys_call_table[]的基地址并記錄系統調用服務例程(如sys_open,sys_close,sys_read,sys_write等)的入口地址，接著將sys_open函數的入口指針替換成函數指針(my_sys_open)。

(2)操作階段。

初始化完成后，這時會執行函數my_sys_open。通常，文件被打開的方式一般有以下三種模式：O_RDONLY/O_WRONLY/O_RDWR。根據這三種打開方式，my_sys_open函數會決定將生成的文件訪問日志記錄添加到read_log.txt中還是write_log.txt中。

當文件以O_WRONLY或O_RDWR方式打開時，系統首先會對該文件進行拷貝以生成備份文件(名稱格式為BAK_文件名_系統時間，用于后期文件的恢復)，然后會在write_log.txt日志文件中添加一條包含有用戶ID、當前系統時間以及原始文件名信息的記錄。例如，原始文件名為“abc.txt”，當前系統時間為2014年8月8日23點56分22秒，用戶的ID為001200，則生成的備份文件名為BAK_abc_20140808235622.txt，并在writelog.txt日志文件中生成以下記錄：001200#20140808235622# abc.txt。

當文件以O_RDONLY方式打開時，則會在read_log.txt文件中添加如下記錄：001200# 20140808235622# abc.txt。

(3)模塊卸載階段。

在移除文件訪問日志模塊時，需要將my_sys_open的地址和sys_open現在的地址進行對比。如果相同，則復位舊系統調用(使用sys_open的原始地址來替代現在的sys_open地址)；如果兩個地址不同，則表明系統調用列表的完整性已遭到破壞，內核處于不穩定狀態，此時會給用戶發出相關信息告警。

4 關鍵函數

(1)模塊的初始化函數init_module()。

// 查找sys_call_table[]的基地址

find_sys_call_table();

//記錄系統調用服務例程的原始地址

original_open=(void*)sys_call_table[_NR_open];

original_write=(void*)sys_call_table[_NR_write];

original_close=(void*)sys_call_table[_NR_close];

original_read=(void*)sys_call_table[_NR_read];

//用系統調用函數my_sys_open替代sys_open

sys_call_table[_NR_open]=(void*)my_sys_open;

(2)監控函數my_sys_open()。

// 如果文件以只讀或可讀寫方式打開

if(flags==(O_WRONLY | O_RDWR))

{

backup_file(filename, flags, mode); //生成備份文件

print_id(USER_ID);

strcpy(timelog, USER_ID);

print_time(USER_TIME);

strcat(timelog, USER_TIME);

strcat(timelog, filelog);

//將用戶ID、系統時間、文件名記錄到write_log.txt中

Write_file( “write_log.txt”, timelog);

}

//如果文件以只讀方式打開

else

{

print_id(USER_ID);

strcpy(timelog, USER_ID);

print_time(USER_TIME);

strcat(timelog, USER_TIME);

strcat(timelog, filelog);

// 將用戶ID、系統時間、文件名記錄到read_log.txt中

write_file(“read_log.txt”, timelog);

}

returnoriginal_open(filename, flags, mode);

(3)模塊的卸載函數cleanup_module()。

if(sys_call_table[_NR_open]!=(void*)my_sys_open)

{

printk(KERN_ALERT “The system is in an unstable state! ”);

}

else

{

sys_call_table[_NR_open]=(void*)original_open;

}

5 結束語

Linux是服務器操作系統中最常用的，因為其擁有高性能、高擴展性、高安全性，受到了越來越多人的追捧；但是針對Linux服務器操作系統的安全事件也非常多。文中在深入研究LKM和HOOK技術的基礎上，設計了一個能夠在非法用戶訪問或修改文件時自動生成日志記錄的信息模塊。該模塊適用于監管長期穩定運行、配置較少需要改動的Linux服務器系統。經系統實測，該安全日志模塊能及時有效地記錄惡意用戶對系統文件的訪問或篡改，為系統的安全審計工作提供有用信息。

接下來的工作是在上述研究基礎上，再設計一個短信報警模塊。當write_log.txt日志文件發生改變時，可以通過移動網關第一時間發送報警信息到管理人員的移動終端上。另外還需繼續改進模塊，增加對新增文件和刪除文件的監控功能，并進一步優化設計，提高系統性能。

[1] Bovet D P,Cesati M.Understanding the Linux kernel[M].[s.l.]:O’Reilly Media,Inc., 2005.

[2] 吳 嫻,錢培德.基于LSM框架構建Linux安全模塊[J].計算機工程與設計,2008,29(24):6281-6284.

[3] 張 浩,劉乃琦.Linux安全模塊框架的研究和安全日志的實現[J].計算機應用研究,2006,23(6):135-137.

[4] Hildebrand D.An architectural overview of QNX[C]//Proc of USENIX workshop on microkernels and other kernel architectures.[s.l.]:USENIX,1992:113-126.

[5] Degoyeneche J M,Desousa E A F.Loadable kernel modules[J].IEEE Software,1998,15(1):65-71.

[6] 徐 敏,熊盛武.Linux 2.6內核下LKM安全性研究[J].電子設計工程,2011,19(12):21-24.

[7] Corbet J,Rubini A,Kroah-Hartman G.Linux device drivers[M].[s.l.]:O’Reilly Media,Inc.,2005.

[8] 羅 宇,鄒 鵬,鄧勝蘭.操作系統[M].北京:電子工業出版社,2011.

[9] 李云雪,蘇智睿,王曉斌.基于Linux安全模塊的通用框架研究與實現[J].計算機工程,2005,31(3):105-107.

[10] 張麗芬,劉美華.操作系統原理教程[M].北京:電子工業出版社,2013.

[11] 吳國偉,李 瑩,姚 琳.Linux內核分析與高級教程[M].北京:清華大學出版社,2012.

[12] Rajagopalan M,Hiltunen M,Jim T,et al.System call monitoring using authenticated system calls[J].IEEE Transactions on Dependable and Secure Computing,2006,3(3):216-229.

[13] Matthew N,Stones R.Beginning Linux programming[M].[s.l.]:John Wiley & Sons,2011.

[14] Parker S.Shell scripting:expert recipes for Linux,Bash and more[M].[s.l.]:John Wiley & Sons,2011.

[15] Pratik A.Linux kernel module for security enhancement[M].[s.l.]:ProQuest,2007.

Research on Linux Security Module Based on LKM Mechanism

LI Xiao-li

(Nantong University，Nantong 226000，China)

In recent years,the Linux system has been widely concerned and applied in the computer industry because of its excellent stability,flexibility and scalability,and low cost.But in terms of security,the Linux kernel only provides access control as well as some security mechanisms.This is not enough for the security of the Linux system,which affects the further development of the Linux system and its wider application.In view of the current problems on security auditing of Linux system,a Linux security log module is designed in this paper on the basis of the research of LKM and HOOK technology.When an intruder enters the Linux server system through a user account and tries to modify the file,the system will generate a log file containing the user’s information automatically.The module is suitable for monitoring the long-term stable operation of the Linux server system,whose configuration is less need to change.By the actual measurement,the security log module can record the user’s access or tampering with the system file in time and effectively,and provide useful information for the security auditing of the system.

LKM;hook function;security module;system call;SMS alarm

2015-08-08

2015-11-12

時間：2016-05-05

國家自然科學基金資助項目(61373169)；南通大學自然科學基金資助項目(12Z057,13Z040)

李曉麗(1977-)，女，碩士研究生，高級實驗師，CCF會員，研究方向為信息安全。

http://www.cnki.net/kcms/detail/61.1450.TP.20160505.0828.068.html

TP309

A

1673-629X(2016)06-0097-04

10.3969/j.issn.1673-629X.2016.06.021