auditd是Linux系统级审计工具,用于监控用户操作、文件访问和系统调用。通过安装auditd并配置规则,可记录特定用户行为、敏感文件访问及命令执行,如监控/etc/shadow访问、sudo执行和bash启动。审计日志存于/var/log/audit/audit.log,可用ausearch和aureport查询和生成报告。为确保规则持久化,需将规则写入/etc/audit/rules.d/audit.rules并重启服务。合理配置可平衡安全审计与系统性能。
Linux中的auditd服务是系统级审计工具,能记录用户行为、文件访问、系统调用等关键操作,适合用于安全审计和故障排查。通过合理配置auditd,可以有效监控用户执行的命令、访问的敏感文件以及系统资源的使用情况。
安装并启动auditd服务
大多数Linux发行版默认未安装auditd,需手动安装并启用服务。
在基于RPM的系统(如CentOS、RHEL)中:
yum install audit audit-libs -y
systemctl enable auditd
systemctl start auditd
在Debian/Ubuntu系统中:
apt-get install auditd audispd-plugins -y
systemctl enable auditd
systemctl start auditd
安装后,auditd会自动加载基础规则并开始记录事件。
配置审计规则监控用户操作
auditd通过预定义规则来捕获特定事件。常用规则包括监控系统调用、文件访问和用户命令执行。
以下是一些实用的审计规则示例:
监控特定用户的系统调用:例如监控用户ID为1001的所有execve调用(执行命令)
auditctl -a always,exit -F arch=b64 -S execve -F euid=1001
监控敏感文件或目录的访问:如/etc/passwd、/etc/shadow
auditctl -w /etc/passwd -p rwxa -k passwd_access
auditctl -w /etc/shadow -p rwxa -k shadow_access
其中 -p 指定监控的权限类型(读、写、执行、属性变更),-k 是用户定义的关键词,便于后续搜索。
监控sudo命令的执行
auditctl -a always,exit -F path=/usr/bin/sudo -F perm=x -k sudo_exec
记录所有用户的命令执行(需结合auditd与bash日志):auditd本身不直接记录shell命令内容,但可通过监控bash二进制文件间接实现
auditctl -a always,exit -F path=/usr/bin/bash -F perm=x -k run_bash
注意:该方法仅记录bash启动,不包含具体输入的命令。若需完整命令记录,建议结合bash的history审计或使用其他工具如syslog+ PROMPT_COMMAND。
PPT.CN,PPTCN,PPT.CN是什么,PPT.CN官网,PPT.CN如何使用
一键操作,智能生成专业级PPT
37 查看详情
查看和分析审计日志
审计日志默认保存在 /var/log/audit/audit.log,使用ausearch和aureport工具进行查询。
按关键词搜索日志:如查找所有标记为sudo_exec的事件
ausearch -k sudo_exec
查看特定用户的操作:例如查询UID为1001的所有事件
ausearch -ua 1001
生成审计报告:使用aureport统计系统调用、文件访问等
aureport –file # 文件访问报告
aureport –syscall –summary # 系统调用汇总
aureport -u # 用户活动报告
持久化审计规则
使用auditctl添加的规则在重启后会丢失,需写入配置文件实现持久化。
编辑规则文件:
vim /etc/audit/rules.d/audit.rules
添加规则示例:
-a always,exit -F arch=b64 -S execve -F euid=1001 -k user_cmd_1001
-w /etc/shadow -p rwxa -k shadow_access
-w /usr/bin/sudo -p x -k sudo_exec
保存后重启auditd服务:
systemctl restart auditd
或使用:
augenrules –load
基本上就这些。auditd功能强大,但需注意日志量可能较大,建议定期归档和监控磁盘使用。合理配置规则,既能满足审计需求,又避免性能开销过高。
以上就是如何在Linux中审计用户操作 Linux auditd监控配置的详细内容,更多请关注创想鸟其它相关文章!
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 chuangxiangniao@163.com 举报,一经查实,本站将立刻删除。
发布者:程序猿,转转请注明出处:https://www.chuangxiangniao.com/p/441809.html
微信扫一扫 
支付宝扫一扫 
