Linux服务器集中审计和操作留痕可通过auditd、bash history联动rsyslog、Loki+Grafana实现,涵盖命令记录、权限追踪、日志集中分析与告警,且需权限分离与规则自检。
Linux服务器集中审计和操作留痕,核心在于统一日志采集、命令行为记录、权限操作追踪与时间线还原。不依赖第三方商业平台,也能用开源组件扎实落地。
启用并加固系统级审计:auditd 是基石
auditd 是 Linux 内置的内核级审计框架,能捕获系统调用、文件访问、用户登录、权限变更等底层事件。
- 安装并启动服务:
sudo apt install auditd(Debian/Ubuntu)或sudo yum install audit(CentOS/RHEL),然后sudo systemctl enable --now auditd - 关键规则示例(写入
/etc/audit/rules.d/custom.rules):-a always,exit -F arch=b64 -S execve -k command_exec(记录所有命令执行)-w /etc/passwd -p wa -k identity_change(监控账号文件修改)-w /var/log/audit/ -p wa -k audit_log(保护审计日志自身) - 重载规则:
sudo augenrules --load,验证是否生效:sudo ausearch -m EXECVE -ts recent | head -5
记录用户交互式命令:bash history + syslog 联动
仅靠 auditd 不足以还原完整操作上下文(如命令参数、执行目录、终端会话)。需结合 shell 日志增强可读性。
- 在
/etc/bash.bashrc或全局 profile 中添加:export HISTTIMEFORMAT="%Y-%m-%d %T "export PROMPT_COMMAND='RETRN_VAL=$?;logger -p local6.info "$(whoami) [$$] $(history 1 | sed "s/^[ ]*[0-9]\+[ ]*//") [$RETRN_VAL]"' - 配置 rsyslog 将 local6 日志转发至中央日志服务器(如使用
/etc/rsyslog.d/50-remote.conf):local6.* @central-logger.example.com:514(UDP)或@@central-logger.example.com:514(TCP) - 确保用户 shell 是 bash(非 sh/nologin),且未禁用 history(检查
HISTSIZE和HISTFILE)
集中收集与结构化分析:ELK 或 Loki + Grafana
分散的日志无法支撑快速检索与行为画像。推荐轻量高效的组合:
- 用 Loki(无索引、基于标签的日志聚合)+ Promtail(日志采集器)+ Grafana(查询与看板)
配置 Promtail 抓取/var/log/audit/audit.log和/var/log/syslog,打上host、role、env等标签 - 在 Grafana 中建 dashboard,常用查询示例:
{job="system-audit"} |~ "execve|chmod|chown" | line_format "{{.log}}"{host="web01"} | json | __error__ =="" | status >= 400(若集成应用日志) - 设置告警规则:例如 5 分钟内同一用户执行 >10 次
sudo su -,或出现rm -rf /类高危命令关键词
权限与审计分离:避免审计员被绕过
审计能力必须独立于被审计对象,否则形同虚设。
- 审计日志路径(如
/var/log/audit/)设为root:root,权限700,禁止普通用户读写 - 禁用 root 直接登录,所有提权走
sudo并强制记录(Defaults logfile=/var/log/sudo.log+Defaults log_input,log_output) - 定期校验审计规则完整性:
sudo auditctl -s | grep enabled应为1;用aureport --summary检查事件量突降(可能被停用或磁盘满) - 关键操作(如新增 sudoer、修改 audit 规则)本身也要进审计流——用
-w /etc/sudoers* -p wa -k sudoers_change等规则兜底
不复杂但容易忽略。真正有效的审计不是堆日志,而是让每条记录可归属、可关联、可回溯、可告警。
