Ubuntu系统安全审计：用户行为分析与异常访问检测

Ubuntu系统安全审计：用户行为分析与异常访问检测

在Linux内核与系统安全社区中，用户行为分析是系统安全防护的重要环节。本文将通过具体案例，展示如何在Ubuntu系统中进行用户行为审计和异常访问检测。

1. 用户登录行为监控

首先，我们可以通过/var/log/wtmp和/var/log/btmp日志文件来追踪用户登录信息：

# 查看最近登录用户
last -n 10

# 监控失败登录尝试
lastb -n 5

2. 异常访问检测配置

在Ubuntu系统中，我们可以通过auditd服务来实现更精细的访问控制：

# 安装审计工具
sudo apt install auditd

# 配置审计规则（示例）
sudo auditctl -w /etc/shadow -p rwxa -k shadow_access
sudo auditctl -w /etc/passwd -p rwxa -k passwd_access

# 查看审计日志
sudo ausearch -k shadow_access

3. 权限控制实践

针对关键文件，建议设置适当的权限：

# 设置shadow文件权限
sudo chmod 600 /etc/shadow
sudo chown root:root /etc/shadow

# 验证权限设置
ls -l /etc/shadow

4. 定期安全审计脚本

编写自动化检查脚本，定期扫描系统中的异常访问：

#!/bin/bash
# audit_check.sh

echo "检查shadow文件权限"
ls -l /etc/shadow | grep -q '^-rw-------' && echo "权限正常" || echo "权限异常"

# 检查最近5次登录记录
last -n 5 | grep -E '(still|gone)' && echo "发现异常登录"

通过上述配置，可以有效识别潜在的安全威胁，并为系统安全提供有力保障。