Linux auditd 命令
auditd 是 Linux 系统上的审计守护进程,它是 Linux 审计框架的核心组件。auditd 的主要功能是监控和记录系统活动,包括:
文件和目录访问系统调用用户登录/登出特权命令执行系统配置变更
这些审计日志对于系统安全监控、合规性检查和故障排查都非常重要。
auditd 核心组件
auditd 守护进程
持续运行的守护进程,负责收集和存储审计事件。
auditctl 工具
用于配置审计规则和控制审计系统的命令行工具。
ausearch 工具
用于查询审计日志的命令行工具。
aureport 工具
生成审计日志的汇总报告。
auditd 安装与启动
安装 auditd
在大多数 Linux 发行版上,auditd 通常已经预装。如果需要手动安装:
实例
# Ubuntu/Debian
sudo apt-get install auditd
# CentOS/RHEL
sudo yum install audit
启动和启用 auditd 服务
实例
# 启动服务
sudo systemctl start auditd
# 设置开机自启
sudo systemctl enable auditd
# 检查服务状态
sudo systemctl status auditd
auditd 配置文件
auditd 的主要配置文件位于
/etc/audit/auditd.conf
,包含以下重要参数:
@@######@@审计日志文件路径@@######@@@@######@@单个日志文件最大大小(MB)@@######@@@@######@@保留的日志文件数量@@######@@@@######@@日志写入方式@@######@@@@######@@如果 flush=INCREMENTAL,多久同步一次@@######@@
修改配置后需要重启服务:
log_file
auditctl 命令详解
/var/log/audit/audit.log
是配置审计规则的主要工具。
基本语法
max_log_file
常用选项
@@######@@列出当前所有规则@@######@@删除所有规则@@######@@显示审计系统状态@@######@@从文件加载规则
规则类型
文件系统规则:监控文件/目录访问
实例
# 监控 /etc/passwd 文件的读写和属性修改
auditctl -w /etc/passwd -p rwxa -k passwd_access
8
:监控路径
num_logs
:权限(r=读, w=写, x=执行, a=属性变更)
5
:关键词(用于日志过滤)
系统调用规则:监控特定系统调用
实例
# 监控所有使用 sudo 的命令
auditctl -a always,exit -F arch=b64 -S execve -F path=/usr/bin/sudo -k sudo_cmds
flush
:动作和列表(always,exit 表示在退出系统调用时记录)
INCREMENTAL
:过滤条件
freq
:系统调用名称
用户规则:监控特定用户行为
WowTo
用AI建立视频知识库
60 查看详情
实例
# 监控UID大于500的用户删除文件
auditctl -a always,exit -S unlink -S unlinkat -S rename -S renameat -F auid>=500 -F auid!=4294967295 -k delete_files
审计日志分析
ausearch 命令
用于查询审计日志。
实例
# 查找特定关键词的日志
ausearch -k passwd_access
# 查找特定时间的日志
ausearch -ts today
ausearch -ts 10:00:00 -te 11:00:00
# 查找特定用户的日志
ausearch -ua 1000
aureport 命令
生成审计日志的汇总报告。
实例
# 生成用户登录报告
aureport -l
# 生成文件访问报告
aureport -f
# 生成所有事件的总结报告
aureport –summary
实际应用示例
示例1:监控敏感文件
实例
# 监控 /etc/shadow 文件
auditctl -w /etc/shadow -p wa -k shadow_mod
# 查看相关日志
ausearch -k shadow_mod | less
示例2:监控用户提权
实例
# 监控所有使用 sudo 或 su 的命令
auditctl -a always,exit -F arch=b64 -S execve -F path=/usr/bin/sudo -k priv_esc
auditctl -a always,exit -F arch=b64 -S execve -F path=/usr/bin/su -k priv_esc
# 生成提权报告
aureport –start today –event –summary -i | grep priv_esc
示例3:监控 SSH 登录
实例
# 监控 SSH 登录成功和失败
auditctl -a always,exit -F arch=b64 -S execve -F path=/usr/sbin/sshd -k sshd_login
# 查看 SSH 登录记录
ausearch -k sshd_login | grep ‘acct=”user”‘ | grep ‘res=success’
最佳实践
合理设置日志轮转:确保日志不会填满磁盘
实例
# 编辑 /etc/audit/auditd.conf
max_log_file = 50
num_logs = 10
集中管理审计规则:将规则保存在文件中
实例
# 创建规则文件 /etc/audit/rules.d/my.rules
-w /etc/passwd -p wa -k passwd_changes
-w /etc/group -p wa -k group_changes
# 加载规则
auditctl -R /etc/audit/rules.d/my.rules
定期审查日志:设置 cron 任务定期分析日志
实例
# 每天生成报告并发送给管理员
0 0 * * * /usr/sbin/aureport –summary –start yesterday –end now | mail -s “Daily Audit Report” admin@example.com
保护审计日志:防止日志被篡改
实例
chmod 600 /var/log/audit/audit.log
chown root:root /var/log/audit/audit.log
常见问题排查
问题1:auditd 服务无法启动
解决方案:
检查配置文件语法:
20
查看系统日志:
sudo systemctl restart auditd
问题2:没有生成审计日志
解决方案:
确认服务正在运行:
auditctl
检查规则是否加载:
auditctl [选项] [规则]
验证内核支持:
-l
问题3:日志文件过大
解决方案:
调整日志大小和数量:修改
-D
中的
-s
和
-R
设置日志压缩:添加
-w
到配置文件中
总结
auditd 是 Linux 系统强大的审计工具,通过合理配置可以:
监控关键文件和目录的访问跟踪特权命令的使用记录用户登录和系统活动满足合规性要求
掌握 auditd 的使用对于系统管理员和安全专业人员至关重要,它可以帮助你更好地理解和保护你的 Linux 系统。
-p
-k
-a
-F
-s
auditd -f /etc/audit/auditd.conf
journalctl -u auditd
systemctl status auditd
auditctl -l
grep "audit" /boot/config-$(uname -r)
/etc/audit/auditd.conf
max_log_file
num_logs
compress = yes
以上就是linux审计守护进程是什么-auditd 命令使用与实例的详细内容,更多请关注创想鸟其它相关文章!
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 chuangxiangniao@163.com 举报,一经查实,本站将立刻删除。
发布者:程序猿,转转请注明出处:https://www.chuangxiangniao.com/p/928581.html
微信扫一扫 
支付宝扫一扫 
