Linux系统安全审计：用户行为分析与异常访问检测

Linux系统安全审计：用户行为分析与异常访问检测

在Linux系统安全管理中，用户行为分析是预防和检测潜在威胁的重要手段。本文将通过具体案例展示如何使用系统工具进行用户行为监控。

1. 基于auditd的用户活动监控

首先安装auditd服务：

# Ubuntu/Debian
sudo apt install auditd

# CentOS/RHEL
sudo yum install audit

配置审计规则，监控用户登录和关键文件访问：

sudo auditctl -w /etc/passwd -p wa -k passwd_access
sudo auditctl -w /etc/shadow -p ra -k shadow_access
sudo auditctl -a always,exit -F arch=b64 -S execve -F euid=0 -k root_exec

2. 异常访问检测脚本

创建监控脚本user_monitor.sh：

#!/bin/bash
# 检测异常登录时间
LOGINS=$(last | grep "still logged in")
for user in $LOGINS; do
  if [[ $(date +%H) -lt 6 || $(date +%H) -gt 22 ]]; then
    echo "警告：$user 在非工作时间登录" >> /var/log/abnormal_login.log
  fi
done

3. 日志分析与告警

通过以下命令分析异常行为：

# 检查失败的登录尝试
grep "Failed password" /var/log/auth.log | tail -10

# 监控sudo使用情况
grep "sudo" /var/log/syslog | grep "COMMAND"

定期审查审计日志，建立用户行为基线，及时发现异常访问模式。

安全建议： 配置自动告警机制，当检测到异常行为时立即通知管理员。