Ubuntu 20.04 安装和配置 auditd

Ubuntu 20.04 安装和配置 auditd
Ubuntu 20.04 auditd 安装与配置指南1. 安装sudoaptupdatesudoaptinstall-yauditd audispd-plugins启动并设置开机自启sudosystemctlenableauditdsudosystemctl start auditdsudosystemctl status auditd2. 主配置文件/etc/audit/auditd.confsudonano/etc/audit/auditd.conf关键参数说明参数示例值说明log_file/var/log/audit/audit.log日志路径max_log_file50单个日志文件最大 MBmax_log_file_actionROTATE满了之后轮转也可设KEEP_LOGSnum_logs10保留轮转日志数量space_left100磁盘剩余 MB 时触发告警space_left_actionSYSLOG告警方式SYSLOG/EMAIL/SUSPENDadmin_space_left50紧急阈值admin_space_left_actionHALT紧急时动作HALT会停机谨慎使用disk_full_actionSUSPEND磁盘满时暂停审计3. 审计规则文件/etc/audit/rules.d/audit.rules规则文件是核心控制审计什么。sudonano/etc/audit/rules.d/audit.rules基础规则模板# 删除所有现有规则-D# 设置缓冲区大小日志量大时调大-b8192# 审计失败时的动作1打印警告2panic内核崩溃慎用-f1# ─── 文件系统监控 ───# 监控 /etc/passwd 和 /etc/shadow 的读写-w/etc/passwd-pwa-kidentity-w/etc/shadow-pwa-kidentity-w/etc/group-pwa-kidentity-w/etc/gshadow-pwa-kidentity-w/etc/sudoers-pwa-ksudoers# 监控 SSH 配置-w/etc/ssh/sshd_config-pwa-kssh_config# 监控 cron-w/etc/crontab-pwa-kcron-w/etc/cron.d/-pwa-kcron# ─── 登录和会话 ───-w/var/log/lastlog-pwa-klogins-w/var/run/faillock/-pwa-klogins# ─── 系统调用监控64 位系统───# 监控文件删除-aalways,exit-Farchb64-Sunlink,unlinkat,rename,renameat-Fauid1000-Fauid!4294967295-kdelete# 监控权限变更-aalways,exit-Farchb64-Schmod,fchmod,fchmodat-Fauid1000-kperm_mod-aalways,exit-Farchb64-Schown,fchown,fchownat,lchown-Fauid1000-kperm_mod# 监控 sudo / su 使用-w/usr/bin/sudo-px-ksudo_usage-w/bin/su-px-ksu_usage# 监控网络配置变更-aalways,exit-Farchb64-Ssethostname,setdomainname-knetwork_config-w/etc/hosts-pwa-knetwork_config# ─── 内核模块 ───-w/sbin/insmod-px-kmodules-w/sbin/rmmod-px-kmodules-aalways,exit-Farchb64-Sinit_module,delete_module-kmodules# 规则不可变重启生效防止运行时篡改——必须放最后-e2应用规则# 推荐方式sudoaugenrules--load# 或者直接加载sudoauditctl-R/etc/audit/rules.d/audit.rules# 验证规则是否生效sudoauditctl-l⚠️注意规则末尾的-e 2会将规则设为不可变修改后需重启系统才能生效。4. 查看日志# 实时查看审计日志sudotail-f/var/log/audit/audit.log# 用 ausearch 搜索可读性更好sudoausearch-kidentity# 查看 identity 相关事件sudoausearch-ksudo_usage# 查看 sudo 使用记录sudoausearch-mUSER_LOGIN# 查看登录事件# 生成报告sudoaureport--summary# 总览sudoaureport-au# 认证报告sudoaureport-x# 可执行文件报告5. 可选集成 auditd → syslog转发到远程日志服务器编辑/etc/audisp/plugins.d/syslog.confactive yes direction out path builtin_syslog type builtin args LOG_INFO format string重启服务使配置生效sudosystemctl restart auditd常见问题排查问题原因解决方法规则不生效未重载sudo augenrules --load日志量过大规则太宽泛缩小-F auid1000范围或添加-F exe过滤-e 2后无法修改规则设计如此重启系统后方可修改规则磁盘空间告警space_left过小调整auditd.conf或扩容存储扩展合规规则集如有特定合规要求可按需获取对应规则集PCI-DSSCIS Benchmark等保等级保护

最新新闻

日新闻

周新闻

月新闻