审计日志配置必须覆盖关键操作、合规基线需自动化检查、权限最小化要落实到服务与用户两级、审计数据须集中留存并防抵赖。
审计日志配置必须覆盖关键操作
Linux系统默认日志往往不满足等保或ISO 27001要求,需主动增强审计范围。重点不是“开了auditd”,而是确保以下行为被完整记录:
• 用户登录/登出(包括su、sudo、ssh)
• 关键配置文件修改(如/etc/passwd、/etc/shadow、/etc/sudoers)
• 权限变更(chmod、chown、setfacl)
• 敏感命令执行(rm -rf、dd、mkfs、iptables规则变更)
建议在/etc/audit/rules.d/audit.rules中添加规则示例:
-a always,exit -F arch=b64 -S execve -C uid!=euid -F euid=0 -k privileged_commands
-w /etc/passwd -p wa -k identity
规则生效后运行augenrules --load并验证ausearch -m SYSCALL -ts recent -i | head -10
合规基线检查不能只靠人工核对
等保2.0三级、GDPR或金融行业监管常要求定期验证系统配置是否符合安全基线。手动逐条检查效率低且易遗漏。
推荐组合使用:
• OpenSCAP:用oscap xccdf eval --profile xccdf_org.ssgproject.content_profile_stig-rhel7-server-upstream自动扫描RHEL/CentOS系统
• lynis:轻量级工具,执行lynis audit system可输出修复建议和合规得分
• 自定义脚本+Ansible:将密码策略、SSH限制、umask设置等写成check task,每次上线前自动触发
权限最小化要落实到服务与用户两级
合规不是“禁止root登录”就完事,而是从进程、用户、文件三层面控制权限边界。
• 服务账户:用systemd的DynamicUser=yes或为Nginx/Apache创建专用非登录用户(/sbin/nologin),禁用shell和home目录
• 用户权限:通过sudoers按角色授权(如%backup ALL=(root) /usr/bin/tar, /usr/bin/rsync),禁用NOPASSWD泛授权
• 文件保护:敏感目录如/etc/ssl/private设为700 root:root,日志目录启用chattr +a /var/log/secure防篡改
审计数据留存与防抵赖是合规落地关键
很多单位日志存本地磁盘,一旦主机失陷,日志可被清除,直接导致审计失效。
必须做到:
• 日志集中采集:用rsyslog或journalbeat将auth、audit、secure日志实时发往独立SIEM(如ELK、Splunk或商用SOC平台)
• 时间同步强制校验:所有节点配置chrony指向可信NTP源,并在/etc/chrony.conf中启用makestep 1 -1防止时间跳跃
• 审计记录不可删改:在接收端开启WORM(Write Once Read Many)策略,或使用audit-log-shipper配合签名机制保障日志完整性
