需安装auditd、启用启动服务、配置规则、验证日志、设置轮转;依次执行yum/apt安装、systemctl enable/start、编辑/etc/audit/rules.d/audit.rules、ausearch/tail查看日志、修改auditd.conf并restart。
如果您希望在Linux系统中启用审计功能以满足安全合规要求,则需要正确安装、配置并启动auditd服务。以下是实现此目标的步骤:
一、安装auditd服务
auditd是Linux内核提供的审计守护进程,多数发行版默认未安装该服务,需手动安装以启用基础审计能力。
1、在基于RPM的系统(如CentOS、RHEL、Fedora)上执行:sudo yum install audit audit-libs。
2、在基于Debian的系统(如Ubuntu、Debian)上执行:sudo apt update && sudo apt install auditd audispd-plugins。
3、安装完成后验证是否成功:rpm -q auditd(RPM系)或dpkg -l | grep auditd(Deb系)。
二、启用并启动auditd服务
安装后需确保auditd服务开机自启并当前运行,否则审计规则不会生效,日志无法生成。
1、设置开机自启:sudo systemctl enable auditd。
2、立即启动服务:sudo systemctl start auditd。
3、检查服务状态:sudo systemctl status auditd,确认输出中显示“active (running)”。
三、配置审计规则文件
审计规则定义哪些系统调用、文件访问或用户行为需被记录,规则写入/etc/audit/rules.d/目录下的*.rules文件,由auditctl加载。
1、编辑主规则文件:sudo nano /etc/audit/rules.d/audit.rules。
2、添加监控关键系统文件的规则,例如:-w /etc/passwd -p wa -k identity(监控passwd文件的写和属性变更)。
3、添加监控特权命令执行的规则,例如:-a always,exit -F path=/usr/bin/sudo -F perm=x -k privileged_commands。
4、保存退出后,重新加载所有规则:sudo augenrules --load。
四、验证审计日志是否正常生成
审计日志默认存储于/var/log/audit/audit.log,需确认日志路径可写、磁盘空间充足且日志轮转已配置,避免日志丢失或写满。
1、查看最近审计事件:sudo ausearch -m SYSCALL -ts recent。
2、实时监控新产生的审计日志:sudo tail -f /var/log/audit/audit.log。
3、搜索特定关键字(如root用户操作):sudo ausearch -ui 0 -i。
五、配置auditd日志轮转与存储限制
防止audit.log无限增长导致磁盘耗尽,需通过/etc/audit/auditd.conf设置日志大小、保留数量及自动压缩策略。
1、编辑配置文件:sudo nano /etc/audit/auditd.conf。
2、修改日志最大容量(单位MB):max_log_file = 50。
3、设置保留日志数量:num_logs = 5。
4、启用日志压缩:compress = yes。
5、重启服务使配置生效:sudo systemctl restart auditd。
