0

0

Linux 系统审计与安全合规方法

舞夢輝影

舞夢輝影

发布时间:2026-02-19 17:03:19

|

978人浏览过

|

来源于php中文网

原创

auditd 未启动导致 ausearch 查不到记录,需 systemctl enable --now auditd 并确保内核支持 config_audit=y、规则已写入 /etc/audit/rules.d/ 且持久化加载。

linux 系统审计与安全合规方法

auditd 服务没启动,ausearch 查不到任何记录

auditd 是 Linux 审计子系统的守护进程,所有内核审计事件都必须经它接收、过滤、落盘。不运行它,auditctl 加的规则只是内存里的幻影,ausearch 自然查不到东西。

检查是否运行:systemctl status auditd;若未激活,先 systemctl enable --now auditd。注意:某些最小化安装(如 Alpine、部分容器镜像)默认不装 auditd 包,得先 apt install auditdyum install audit

  • 启动前确认 /etc/audit/rules.d/ 下有 .rules 文件,否则 auditd 启动后无规则可加载
  • 若用 systemd 启动失败,看 journalctl -u auditd -n 50,常见报错是 Cannot open /dev/audit —— 这说明内核没编译 CONFIG_AUDIT=y,需换内核或重编译
  • auditctl -l 只显示当前生效的规则,但重启 auditd 后会清空;持久化必须写进 /etc/audit/rules.d/*.rules 并执行 augenrules --load

想监控 /etc/passwd 修改,但 -w /etc/passwd -p wa 不触发

文件写权限(w)和属性修改(a)确实能捕获 chmod/chown,但对 /etc/passwd 这类被程序覆盖写入的场景,往往只触发一次“写”事件,且可能被缓冲延迟。更稳的方式是监听其父目录 + 过滤文件名。

推荐写法:-w /etc/ -p wa -k etc_passwd_changes,再用 ausearch -k etc_passwd_changes | awk '$13 ~ /passwd$/ {print}' 筛选。这样能捕获 cp、mv、vi 保存等所有路径变更行为。

  • -p wa 中的 a 对硬链接创建/删除无效,需额外加 -w /etc/passwd -p r 监听读取(用于检测暴力破解尝试)
  • SELinux 启用时,auditd 规则仍生效,但部分系统调用可能被 SELinux 先拦截,导致 audit 不记录 —— 此时要配合 ausearch -m avc 查 SELinux 拒绝日志
  • 频繁写入小文件(如日志轮转)会导致 audit 日志暴增,建议用 -F key= 打标 + log_file = /var/log/audit/audit-etc.log 单独分流

auditctl 加了规则却收不到 SSH 登录事件

SSH 登录本身不直接修改文件或系统调用,它走的是 PAM 认证链。audit 默认不跟踪用户空间认证流程,必须显式启用 PAM audit 模块并配置规则。

网胜B2B电子商务系统蓝色风格 2008 SP6.2 普及版
网胜B2B电子商务系统蓝色风格 2008 SP6.2 普及版

  websenB2B是一套经过完善设计的B2B行业网站程序,是windows nt系列环境下最佳的B2B行业网产站解决方案。精心设计的架构与功能机制,适合从个人到企业各方面应用的要求,为您提供一个安全、稳定、高效、易用而快捷的行业网站商务系统。分普及版和商业版等不同版本。一、网胜B2B电子商务系统SP6.2蓝色风格普及版本升级功能说明:1、邮件群发功能:可以选择某一级别的会员,并放入支持html

下载

确认 /etc/pam.d/sshd 含有这一行:auth [default=ignore] pam_audit.so;同时在 /etc/audit/rules.d/login.rules 中加:-a always,exit -F arch=b64 -S execve -F exe=/usr/sbin/sshd -k ssh_login(x86_64 系统)。

  • 32 位系统要用 arch=b32,混用会丢事件
  • execve 能捕获 sshd 子进程拉起(如 bash),但登录失败通常只记在 /var/log/secure;要抓失败,得结合 -F auid=4294967295(未登录用户的 auid 值)过滤
  • 容器环境里,宿主机 auditd 无法捕获容器内 sshd 的 execve —— 必须在容器内单独跑 auditd,或改用 eBPF 工具如 tracee

audit 日志暴涨填满磁盘,log_file 配置不生效

auditd 的日志轮转靠 auditd.conf 中的 max_log_filenum_logs 控制,但这两个参数只在 auditd 主进程收到 SIGHUP 或重启时才重新读取,改完不 reload 就等于白改。

正确流程:改完 /etc/audit/auditd.conf 后,必须执行 systemctl kill --signal=SIGHUP auditdservice auditd reload(取决于发行版)。验证是否生效:auditctl -s | grep "max_log"

  • max_log_file_action = rotate 才启用轮转;设成 emailexec 会跳过轮转逻辑
  • 若用 logrotate 管理 /var/log/audit/audit.log,必须配 copytruncate,否则 auditd 写句柄丢失,新日志会写进已删除文件的 inode,磁盘空间不释放
  • 高频事件(如监控 /proc)建议关掉 enable_krb5disp_qos,避免网络/队列开销拖慢审计线程

真正难的不是加规则,是区分哪些事件必须留、哪些可以丢——比如监控 openat 全局规则,十有八九会把 auditd 自己压垮。

热门AI工具

更多
DeepSeek
DeepSeek

幻方量化公司旗下的开源大模型平台

豆包大模型
豆包大模型

字节跳动自主研发的一系列大型语言模型

通义千问
通义千问

阿里巴巴推出的全能AI助手

腾讯元宝
腾讯元宝

腾讯混元平台推出的AI助手

文心一言
文心一言

文心一言是百度开发的AI聊天机器人,通过对话可以生成各种形式的内容。

讯飞写作
讯飞写作

基于讯飞星火大模型的AI写作工具,可以快速生成新闻稿件、品宣文案、工作总结、心得体会等各种文文稿

即梦AI
即梦AI

一站式AI创作平台,免费AI图片和视频生成。

ChatGPT
ChatGPT

最最强大的AI聊天机器人程序,ChatGPT不单是聊天机器人,还能进行撰写邮件、视频脚本、文案、翻译、代码等任务。

相关专题

更多
python中print函数的用法
python中print函数的用法

python中print函数的语法是“print(value1, value2, ..., sep=' ', end=' ', file=sys.stdout, flush=False)”。本专题为大家提供print相关的文章、下载、课程内容,供大家免费下载体验。

192

2023.09.27

python print用法与作用
python print用法与作用

本专题整合了python print的用法、作用、函数功能相关内容,阅读专题下面的文章了解更多详细教程。

12

2026.02.03

线程和进程的区别
线程和进程的区别

线程和进程的区别:线程是进程的一部分,用于实现并发和并行操作,而线程共享进程的资源,通信更方便快捷,切换开销较小。本专题为大家提供线程和进程区别相关的各种文章、以及下载和课程。

675

2023.08.10

default gateway怎么配置
default gateway怎么配置

配置default gateway的步骤:1、了解网络环境;2、获取路由器IP地址;3、登录路由器管理界面;4、找到并配置WAN口设置;5、配置默认网关;6、保存设置并退出;7、检查网络连接是否正常。本专题为大家提供相关的文章、下载、课程内容,供大家免费下载体验。

229

2023.12.07

磁盘配额是什么
磁盘配额是什么

磁盘配额是计算机中指定磁盘的储存限制,就是管理员可以为用户所能使用的磁盘空间进行配额限制,每一用户只能使用最大配额范围内的磁盘空间。php中文网为大家提供各种磁盘配额相关的内容,教程,供大家免费下载安装。

1520

2023.06.21

如何安装LINUX
如何安装LINUX

本站专题提供如何安装LINUX的相关教程文章,还有相关的下载、课程,大家可以免费体验。

714

2023.06.29

linux find
linux find

find是linux命令,它将档案系统内符合 expression 的档案列出来。可以指要档案的名称、类别、时间、大小、权限等不同资讯的组合,只有完全相符的才会被列出来。find根据下列规则判断 path 和 expression,在命令列上第一个 - ( ) , ! 之前的部分为 path,之后的是 expression。还有指DOS 命令 find,Excel 函数 find等。本站专题提供linux find相关教程文章,还有相关

300

2023.06.30

linux修改文件名
linux修改文件名

本专题为大家提供linux修改文件名相关的文章,这些文章可以帮助用户快速轻松地完成文件名的修改工作,大家可以免费体验。

791

2023.07.05

pixiv网页版官网登录与阅读指南_pixiv官网直达入口与在线访问方法
pixiv网页版官网登录与阅读指南_pixiv官网直达入口与在线访问方法

本专题系统整理pixiv网页版官网入口及登录访问方式,涵盖官网登录页面直达路径、在线阅读入口及快速进入方法说明,帮助用户高效找到pixiv官方网站,实现便捷、安全的网页端浏览与账号登录体验。

660

2026.02.13

热门下载

更多
网站特效
/
网站源码
/
网站素材
/
前端模板

精品课程

更多
相关推荐
/
热门推荐
/
最新课程
PostgreSQL 教程
PostgreSQL 教程

共48课时 | 9.4万人学习

Git 教程
Git 教程

共21课时 | 3.7万人学习

关于我们 免责申明 举报中心 意见反馈 讲师合作 广告合作 最新更新
php中文网:公益在线php培训,帮助PHP学习者快速成长!
关注服务号 技术交流群
PHP中文网订阅号
每天精选资源文章推送

Copyright 2014-2026 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号