在企业级Linux系统中,安全审计是保障系统稳定与合规的重要手段。RockyLinux作为RHEL的社区替代版本,继承了强大的安全机制,其中 auditd(Audit Daemon)是核心组件之一。本文将手把手教你如何在RockyLinux上配置和使用
auditd命令进行系统审计,即使是Linux新手也能轻松上手。
什么是 auditd?
auditd是 Linux 审计子系统的守护进程,它能够记录系统调用、文件访问、用户行为等关键事件,并将这些信息写入日志文件。通过分析这些日志,管理员可以追踪异常操作、满足合规要求(如 PCI-DSS、ISO 27001),并提升整体系统安全性。
第一步:安装 auditd(RockyLinux 默认已安装)
大多数 RockyLinux 系统默认已预装
auditd。若未安装,可使用以下命令安装:
确保 sudo dnf install audit -y 第二步:启动并启用 auditd 服务
auditd
在系统启动时自动运行:
审计规则定义了哪些行为需要被记录。规则分为两类:静态规则(写入配置文件)和动态规则(运行时添加)。 编辑主配置文件 sudo systemctl start auditdsudo systemctl enable auditd 第三步:配置审计规则
1. 静态规则配置(推荐用于持久化)
/etc/audit/rules.d/audit.rules
(注意:不是 /etc/audit/audit.rules
,后者由系统自动生成):
说明: 使用 # 监控 /etc/passwd 文件的读写和属性变更-w /etc/passwd -p rwxa -k passwd_access# 监控所有 execve 系统调用(即命令执行)-a always,exit -F arch=b64 -S execve -k command_exec-a always,exit -F arch=b32 -S execve -k command_exec# 记录用户登录失败事件-w /var/log/faillog -p wa -k logins-w /var/log/lastlog -p wa -k logins -w
:监控指定文件或目录 -p rwxa
:r=读,w=写,x=执行,a=属性变更 -k
:为规则打上关键字标签,便于后续查询 -a always,exit
:在系统调用退出时记录 2. 动态添加规则(临时生效)
auditctl
命令实时添加规则(重启后失效):
审计日志默认保存在 sudo auditctl -w /etc/shadow -p rwa -k shadow_file 第四步:查看审计日志
/var/log/audit/audit.log
。但直接阅读原始日志较困难,建议使用工具解析:
1. 使用 ausearch 按关键字查询
通过合理配置 RockyLinux auditd命令,你可以构建一个强大的系统行为追踪体系。无论是为了满足 Linux系统审计配置 的合规需求,还是实施 RockyLinux安全加固 策略, 提示:生产环境中建议结合 SELinux、firewalld 等安全模块,构建纵深防御体系。# 查看所有标记为 passwd_access 的事件sudo ausearch -k passwd_access# 查看某用户的所有操作sudo ausearch -ua username 2. 生成摘要报告(使用 aureport)
# 查看今日的登录尝试摘要sudo aureport --login --summary# 查看所有执行的命令sudo aureport -x --key command_exec 第五步:优化与注意事项
日志轮转:编辑 /etc/audit/auditd.conf
配置日志大小和保留数量,避免磁盘占满。 性能影响:过度监控会消耗系统资源,建议只监控关键文件和行为。 权限控制:只有 root 用户能管理 auditd 规则,确保配置文件权限为 600。 总结
auditd
都是不可或缺的工具。希望本篇 auditd安全审计教程 能帮助你从零开始掌握这一关键技术。
