答案:Linux安全审计日志系统以auditd为核心,通过配置/etc/audit/auditd.conf和规则文件监控关键文件、系统调用及用户行为,使用ausearch和aureport分析日志,并强化日志存储与远程传输以提升安全性。
在Linux系统中构建安全审计日志系统,核心是利用auditd服务,它是Linux Audit System的主要组件,能够记录系统调用、文件访问、用户行为等关键操作,帮助实现合规性检查和入侵检测。
启用并配置auditd服务
大多数主流Linux发行版(如CentOS、RHEL、Ubuntu)默认提供auditd包。首先确保安装并启动服务:
安装auditd(以CentOS为例):
sudo yum install audit audit-libs -ysudo systemctl enable auditd
sudo systemctl start auditd
服务启动后,审计规则需手动配置才能生效。主要配置文件位于:
-
/etc/audit/auditd.conf:定义日志存储路径、日志轮转、磁盘空间告警等全局参数 -
/etc/audit/rules.d/audit.rules或/etc/audit/rules.d/目录下的规则文件:存放持久化审计规则
常见关键配置项:
-
log_file = /var/log/audit/audit.log:指定日志路径 -
max_log_file = 50:单个日志最大50MB -
max_log_file_action = ROTATE:达到上限后轮转 -
space_left = 100:剩余磁盘空间低于100MB时触发警告 -
admin_space_left = 50:紧急保留空间
配置关键审计规则
通过auditctl命令可临时添加规则,但重启后失效。建议将规则写入/etc/audit/rules.d/audit.rules以持久化。
监控敏感文件和目录:
-w /etc/passwd -p wa -k identity-w /etc/shadow -p wa -k identity
-w /etc/sudoers -p wa -k privileged-actions
-w /var/log/audit/ -p wa -k audit-log-access
说明:-w指定监控路径,-p wa表示监听写入(write)和属性变更(attribute),-k为自定义标签,便于后续搜索。
监控系统调用:
-a always,exit -F arch=b64 -S execve -S unlink -S rmdir -k suspicious-exec该规则记录所有64位系统的execve(执行程序)、unlink/rmdir(删除文件/目录)调用,可用于追踪可疑命令执行。
监控特定用户行为:
-a always,exit -F arch=b64 -S adjtimex -S settimeofday -F auid!=4294967295 -F auid=1000 -k time-change监控UID为1000的用户是否尝试修改系统时间。
查询与分析审计日志
使用ausearch和aureport工具解析日志。
按关键字搜索:
sudo ausearch -k identity查找所有标记为“identity”的事件,例如对/etc/shadow的修改。
生成汇总报告:
sudo aureport --summary:查看事件类型汇总sudo aureport -f -i:文件访问报告(-i表示人性化输出)
sudo aureport -u -i:用户活动报告
日志中关键字段包括:
-
msg=audit(...):时间戳和事件ID -
exe=:执行程序路径 -
comm=:命令名 -
cwd=:当前工作目录 -
key=:规则标签 -
uid、auid:实际用户ID和登录用户ID(重要用于识别提权行为)
增强审计系统的安全性
审计日志本身可能成为攻击目标,需加强保护:
- 设置日志文件权限为
600,属主root:root - 配置远程日志服务器,使用
audispd-plugins将日志实时发送至SIEM系统(如Syslog-ng、Rsyslog) - 定期备份并归档日志,防止本地篡改或删除
- 禁用非必要用户的shell访问,减少日志噪音
- 结合
fail2ban或自定义脚本,对异常行为自动响应
基本上就这些。合理配置auditd能显著提升系统可观测性和安全性,关键是明确审计目标,聚焦高风险操作,并建立日志分析机制。不复杂但容易忽略。
