原文链接:
Hello,大家好啊!今天给大家带来一篇在国产桌面操作系统上部署auditd审计工具的文章。auditd是Linux审计系统的核心守护进程,用于记录系统安全相关的事件和日志。部署和配置auditd可以帮助系统管理员监控系统活动,提高系统安全性。本文将详细介绍如何在国产桌面操作系统(如统信UOS、麒麟KOS、中科方德等)上安装和配置auditd。欢迎大家分享转发,点个关注和在看吧!
什么是auditd?
auditd是Linux审计系统的核心组件,用于记录系统内的各种安全事件,包括文件访问、系统调用、用户登录等。通过审计日志,管理员可以跟踪系统中的各种活动,识别和分析潜在的安全威胁。
安装auditd
在大多数Linux发行版中,auditd都可以通过包管理器安装。以下是安装auditd的步骤。
在Debian/Ubuntu基础的系统上(如统信UOS、麒麟KOS)
sudo apt updatesudo apt install auditd
在欧拉/龙晰基础的服务器系统上(如中科方德)
sudo yum install audit
配置auditd
安装完成后,需要对auditd进行配置,以满足具体的审计需求。
配置文件位置
auditd的主要配置文件是/etc/audit/auditd.conf。此外,审计规则配置文件通常位于/etc/audit/audit.rules。
1.查看系统信息
pdsyw@pdsyw-PC:~/Desktop$ cat /etc/os-version pdsyw@pdsyw-PC:~/Desktop$ uname -a
2.更新软件源
pdsyw@pdsyw-PC:~/Desktop$ sudo apt update
3.安装audit工具
pdsyw@pdsyw-PC:~/Desktop$ sudo apt install auditd audispd-plugins -y
4.启动audit
pdsyw@pdsyw-PC:~/Desktop$ sudo systemctl start auditdpdsyw@pdsyw-PC:~/Desktop$ sudo systemctl enable auditdpdsyw@pdsyw-PC:~/Desktop$ sudo systemctl status auditd
5.备份audit规则文件
pdsyw@pdsyw-PC:~/Desktop$ sudo -iroot@pdsyw-PC:~# cd /etc/audit/rules.d/root@pdsyw-PC:/etc/audit/rules.d# cp audit.rules{,.bak}
6.编辑规则
root@pdsyw-PC:/etc/audit/rules.d# vim audit.rulesroot@pdsyw-PC:/etc/audit/rules.d# cat audit.rules# 监控密码文件的修改-w /etc/passwd -p wa -k passwd_changes-w /etc/shadow -p wa -k shadow_changes-w /etc/group -p wa -k group_changes-w /etc/gshadow -p wa -k gshadow_changes# 监控关键目录的访问-w /var/log/ -p wa -k log_changes-w /etc/ -p wa -k etc_changes# 监控用户和组管理命令-a always,exit -F arch=b64 -S all -F path=/usr/sbin/useradd -F perm=x -k user_management-a always,exit -F arch=b64 -S all -F path=/usr/sbin/userdel -F perm=x -k user_management-a always,exit -F arch=b64 -S all -F path=/usr/sbin/groupadd -F perm=x -k group_management-a always,exit -F arch=b64 -S all -F path=/usr/sbin/groupdel -F perm=x -k group_management# 监控网络配置文件的修改-w /etc/hosts -p wa -k hosts_changes-w /etc/network/ -p wa -k network_changes# 监控系统启动脚本的修改-w /etc/init.d/ -p wa -k init_changes-w /etc/systemd/ -p wa -k systemd_changesroot@pdsyw-PC:/etc/audit/rules.d#
解释:
-w /etc/passwd:监控 /etc/passwd 文件。这个文件包含用户账户信息,例如用户名、UID、GID、家目录和shell。
-p wa:
w:监控对文件的写入操作(write)。
a:监控对文件的属性更改操作(attribute change)。
-k passwd_changes:为此规则分配关键字 passwd_changes,便于以后查找相关日志条目。
用途:
监控 /etc/passwd 文件可以帮助检测用户账户的添加、删除或修改。这对于审计用户管理活动非常重要。
解释:
-a always,exit:表示在所有系统调用(syscall)结束时(exit),始终应用此规则。
-F arch=b64:指定架构为64位(b64),这适用于64位系统。对于32位系统,可以使用arch=b32。
-S all:表示应用于所有系统调用。
-F path=/usr/sbin/useradd:过滤条件,指定路径为/usr/sbin/useradd,即useradd命令的路径。
-F perm=x:过滤条件,指定执行权限(execute permission)。
-k user_management:为此规则分配关键字 user_management,便于以后查找相关日志条目。
用途:
监控 useradd 命令可以帮助检测系统中何时添加了新用户,这对于审计用户管理活动非常重要。
7.重启audit
pdsyw@pdsyw-PC:~/Desktop$ sudo systemctl restart auditdpdsyw@pdsyw-PC:~/Desktop$ sudo systemctl status auditd
8.验证Auditd配置
pdsyw@pdsyw-PC:~/Desktop$ sudo auditctl -l
9.监听日志文件
root@pdsyw-PC:~# tail -f /var/log/audit/audit.log
10.修改密码
11.日志文件内容
12.搜索包含特定关键字的条目
root@pdsyw-PC:~# sudo ausearch -k passwd_changes
ausearch 命令概述
ausearch 是 auditd 审计框架的一部分,用于搜索和显示审计日志中的记录。它提供了多种选项,可以根据不同的过滤条件查找审计日志中的特定事件。
选项和参数解释
ausearch:命令,用于搜索审计日志。
-k passwd_changes:选项 -k 表示搜索审计日志中带有特定关键字的条目。这里的关键字是 passwd_changes,它与之前配置的审计规则中的 -k passwd_changes 对应。
13.查看用户认证记录和模块活动
root@pdsyw-PC:~# sudo aureport -auroot@pdsyw-PC:~# sudo aureport -m
sudo aureport -au系统会生成一份用户认证相关事件的报告。这些事件包括用户登录、注销、失败的认证尝试等。
aureport -m 系统会生成一份与系统模块加载和卸载相关事件的报告。这些事件包括加载和卸载内核模块等。
14.备份配置文件
root@pdsyw-PC:~# cd /etc/audit/root@pdsyw-PC:/etc/audit# cp auditd.conf{,.bak}
15.配置日志大小及日志轮换
root@pdsyw-PC:/etc/audit# vim auditd.conf
通过本文的介绍,您应该已经掌握了在国产桌面操作系统上部署和配置auditd审计工具的方法。auditd可以帮助您记录和监控系统中的安全事件,提高系统的安全性和可审计性。如果您觉得这篇文章有用,请分享和转发。同时,别忘了点个关注和在看,以便未来获取更多实用的技术信息和解决方案。感谢大家的阅读,我们下次再见!