rtld-audit 接口可通过以下两种方法之一来启用。每种方法都会指示一个所审计的目标文件的范围。
全局审计,通过使用环境变量 LD_AUDIT 来启用。 通过此方法可用的审计库附带有与进程所使用的所有动态库相关的信息。
局部审计,通过生成目标文件时在目标文件内记录的动态项来启用。通过此方法可用的审计库附带有与标识用于审计的那些动态库相关的信息。
任一调用方法都包含一个字符串,其中包含通过 dlopen(3C) 装入的以冒号分隔的共享库列表。每个目标文件都装入各自的审计链接映射列表中。使用 dlsym(3C) 可搜索每个目标文件中的审计例程。在应用程序执行过程中的不同阶段会调用找到的审计例程。
通过 rtld-audit 接口可以提供多个审计库。希望以此方式使用的审计库不应更改通常由运行时链接程序返回的绑定。更改这些绑定会在后面的审计库中产生意外结果。
安全应用程序只能从受信任的目录中获取审计库。缺省情况下,用于 32 位目标文件的运行时链接程序可识别的受信任的目录仅有 /lib/secure 和 /usr/lib/secure。对于 64 位目标文件,受信任的目录是 /lib/secure/64 和 /usr/lib/secure/64。