原文链接：

Hello，大家好啊！今天给大家带来一篇在国产桌面操作系统上部署auditd审计工具的文章。auditd是Linux审计系统的核心守护进程，用于记录系统安全相关的事件和日志。部署和配置auditd可以帮助系统管理员监控系统活动，提高系统安全性。本文将详细介绍如何在国产桌面操作系统（如统信UOS、麒麟KOS、中科方德等）上安装和配置auditd。欢迎大家分享转发，点个关注和在看吧！

什么是auditd？

auditd是Linux审计系统的核心组件，用于记录系统内的各种安全事件，包括文件访问、系统调用、用户登录等。通过审计日志，管理员可以跟踪系统中的各种活动，识别和分析潜在的安全威胁。

安装auditd

在大多数Linux发行版中，auditd都可以通过包管理器安装。以下是安装auditd的步骤。

在Debian/Ubuntu基础的系统上（如统信UOS、麒麟KOS）

sudo apt updatesudo apt install auditd

在欧拉/龙晰基础的服务器系统上（如中科方德）

sudo yum install audit

配置auditd

安装完成后，需要对auditd进行配置，以满足具体的审计需求。

配置文件位置

auditd的主要配置文件是/etc/audit/auditd.conf。此外，审计规则配置文件通常位于/etc/audit/audit.rules。

1.查看系统信息

pdsyw@pdsyw-PC:~/Desktop$ cat /etc/os-version pdsyw@pdsyw-PC:~/Desktop$ uname -a

2.更新软件源

pdsyw@pdsyw-PC:~/Desktop$ sudo apt update

3.安装audit工具

pdsyw@pdsyw-PC:~/Desktop$ sudo apt install auditd audispd-plugins -y

4.启动audit

pdsyw@pdsyw-PC:~/Desktop$ sudo systemctl start auditdpdsyw@pdsyw-PC:~/Desktop$ sudo systemctl enable auditdpdsyw@pdsyw-PC:~/Desktop$ sudo systemctl status auditd

5.备份audit规则文件

pdsyw@pdsyw-PC:~/Desktop$ sudo -iroot@pdsyw-PC:~# cd /etc/audit/rules.d/root@pdsyw-PC:/etc/audit/rules.d# cp audit.rules{,.bak}

6.编辑规则

root@pdsyw-PC:/etc/audit/rules.d# vim audit.rulesroot@pdsyw-PC:/etc/audit/rules.d# cat audit.rules# 监控密码文件的修改-w /etc/passwd -p wa -k passwd_changes-w /etc/shadow -p wa -k shadow_changes-w /etc/group -p wa -k group_changes-w /etc/gshadow -p wa -k gshadow_changes# 监控关键目录的访问-w /var/log/ -p wa -k log_changes-w /etc/ -p wa -k etc_changes# 监控用户和组管理命令-a always,exit -F arch=b64 -S all -F path=/usr/sbin/useradd -F perm=x -k user_management-a always,exit -F arch=b64 -S all -F path=/usr/sbin/userdel -F perm=x -k user_management-a always,exit -F arch=b64 -S all -F path=/usr/sbin/groupadd -F perm=x -k group_management-a always,exit -F arch=b64 -S all -F path=/usr/sbin/groupdel -F perm=x -k group_management# 监控网络配置文件的修改-w /etc/hosts -p wa -k hosts_changes-w /etc/network/ -p wa -k network_changes# 监控系统启动脚本的修改-w /etc/init.d/ -p wa -k init_changes-w /etc/systemd/ -p wa -k systemd_changesroot@pdsyw-PC:/etc/audit/rules.d#

解释:

-w /etc/passwd：监控 /etc/passwd 文件。这个文件包含用户账户信息，例如用户名、UID、GID、家目录和shell。

-p wa：

w：监控对文件的写入操作（write）。

a：监控对文件的属性更改操作（attribute change）。

-k passwd_changes：为此规则分配关键字 passwd_changes，便于以后查找相关日志条目。

用途:

监控 /etc/passwd 文件可以帮助检测用户账户的添加、删除或修改。这对于审计用户管理活动非常重要。

解释:

-a always,exit：表示在所有系统调用（syscall）结束时（exit），始终应用此规则。

-F arch=b64：指定架构为64位（b64），这适用于64位系统。对于32位系统，可以使用arch=b32。

-S all：表示应用于所有系统调用。

-F path=/usr/sbin/useradd：过滤条件，指定路径为/usr/sbin/useradd，即useradd命令的路径。

-F perm=x：过滤条件，指定执行权限（execute permission）。

-k user_management：为此规则分配关键字 user_management，便于以后查找相关日志条目。

用途:

监控 useradd 命令可以帮助检测系统中何时添加了新用户，这对于审计用户管理活动非常重要。

7.重启audit

pdsyw@pdsyw-PC:~/Desktop$ sudo systemctl restart auditdpdsyw@pdsyw-PC:~/Desktop$ sudo systemctl status auditd

8.验证Auditd配置

pdsyw@pdsyw-PC:~/Desktop$ sudo auditctl -l

9.监听日志文件

root@pdsyw-PC:~# tail -f /var/log/audit/audit.log

10.修改密码

11.日志文件内容

12.搜索包含特定关键字的条目

root@pdsyw-PC:~# sudo ausearch -k passwd_changes

ausearch 命令概述

ausearch 是 auditd 审计框架的一部分，用于搜索和显示审计日志中的记录。它提供了多种选项，可以根据不同的过滤条件查找审计日志中的特定事件。

选项和参数解释

ausearch：命令，用于搜索审计日志。

-k passwd_changes：选项 -k 表示搜索审计日志中带有特定关键字的条目。这里的关键字是 passwd_changes，它与之前配置的审计规则中的 -k passwd_changes 对应。

13.查看用户认证记录和模块活动

root@pdsyw-PC:~# sudo aureport -auroot@pdsyw-PC:~# sudo aureport -m

sudo aureport -au系统会生成一份用户认证相关事件的报告。这些事件包括用户登录、注销、失败的认证尝试等。

aureport -m 系统会生成一份与系统模块加载和卸载相关事件的报告。这些事件包括加载和卸载内核模块等。

14.备份配置文件

root@pdsyw-PC:~# cd /etc/audit/root@pdsyw-PC:/etc/audit# cp auditd.conf{,.bak}

15.配置日志大小及日志轮换

root@pdsyw-PC:/etc/audit# vim auditd.conf

通过本文的介绍，您应该已经掌握了在国产桌面操作系统上部署和配置auditd审计工具的方法。auditd可以帮助您记录和监控系统中的安全事件，提高系统的安全性和可审计性。如果您觉得这篇文章有用，请分享和转发。同时，别忘了点个关注和在看，以便未来获取更多实用的技术信息和解决方案。感谢大家的阅读，我们下次再见！