需通过auditd服务配置审计日志以满足安全合规要求,具体包括:一、启用并启动auditd服务;二、配置/etc/audit/rules.d/下的audit.rules规则文件;三、设置logrotate轮转策略;四、严格限制/var/log/audit/目录及日志文件权限;五、验证规则生效性。
如果您需要在Linux系统中配置审计日志以满足安全合规要求,则需通过auditd服务对关键系统调用、文件访问和用户行为进行持续记录与监控。以下是实现该目标的具体操作步骤:
一、启用并启动auditd服务
auditd是Linux内核提供的核心审计守护进程,负责接收、过滤和写入审计事件。启用该服务是构建完整审计能力的前提。
1、执行命令检查auditd服务当前状态:systemctl status auditd
2、若服务未运行,使用以下命令启动:systemctl start auditd
3、设置开机自启以确保审计持续生效:systemctl enable auditd
二、配置审计规则文件audit.rules
审计规则定义了哪些系统事件应被记录,规则保存在/etc/audit/rules.d/目录下,由auditctl在启动时加载。直接编辑rules文件可实现持久化策略部署。
1、进入规则目录:cd /etc/audit/rules.d/
2、创建或编辑主规则文件(如audit.rules):vi audit.rules
3、添加监控关键系统调用的规则示例:-a always,exit -F arch=b64 -S execve -k exec_events
4、添加监控敏感文件访问的规则示例:-w /etc/passwd -p wa -k identity_changes
5、重新加载规则使配置生效:augenrules --load
三、设置审计日志轮转与存储策略
审计日志持续增长可能耗尽磁盘空间,需配置logrotate机制控制日志大小、保留周期及归档方式,防止日志丢失或系统因空间不足而停止记录。
1、编辑日志轮转配置文件:vi /etc/logrotate.d/auditd
2、确认包含以下关键参数:rotate 6(保留6个归档)、maxsize 50M(单文件上限50MB)
3、指定日志压缩选项以节省空间:compress
4、验证配置语法正确性:logrotate -d /etc/logrotate.d/auditd
四、限制审计日志访问权限
审计日志包含高敏感信息,必须严格控制读取权限,仅允许root用户及授权审计人员访问,防止未授权查看或篡改。
1、检查/var/log/audit/目录权限:ls -ld /var/log/audit/
2、若权限非0700,立即修正:chmod 0700 /var/log/audit/
3、检查audit.log文件权限:ls -l /var/log/audit/audit.log
4、设置仅root可读写:chmod 0600 /var/log/audit/audit.log
五、验证审计规则是否生效
规则部署后需主动触发对应事件并检索日志,确认审计系统能准确捕获目标行为,避免配置遗漏或规则冲突导致漏记。
1、手动执行一条被监控的命令:ls /etc/shadow
2、查询最近10条含“shadow”关键词的审计记录:ausearch -f /etc/shadow | tail -10
3、使用aureport生成简要统计报告:aureport -ts recent -i
4、定位具体事件详情并解析字段含义:ausearch -m SYSCALL -i | grep "ls"
