系统安全审计实战：使用auditd监控敏感操作行为

系统安全审计实战：使用auditd监控敏感操作行为

在Linux系统安全防护中，实时监控敏感操作行为是构建纵深防御体系的重要环节。本文将通过实际案例演示如何使用auditd服务来监控系统关键操作。

审计配置基础

首先确保auditd服务已安装并运行：

# 检查服务状态
systemctl status auditd

# 启动服务（如未运行）
systemctl start auditd
systemctl enable auditd

具体监控案例

1. 监控用户登录行为

auditctl -a always,exit -F arch=b64 -S execve -F path=/bin/login -F perm=x

2. 监控敏感文件访问

auditctl -w /etc/shadow -p rwxa -k shadow_access
auditctl -w /etc/passwd -p rwxa -k passwd_access

3. 监控关键目录修改

auditctl -w /etc/ -p wa -k etc_changes
auditctl -w /usr/bin/sudo -p x -k sudo_execution

查看审计日志

通过以下命令查看审计记录：

# 实时查看
ausearch -k shadow_access

# 生成报告
aureport --start recent --summary

配置持久化

将规则写入配置文件以实现开机自启：

# 编辑配置文件
vim /etc/audit/rules.d/audit.rules

# 添加规则内容
-w /etc/shadow -p rwxa -k shadow_access
-a always,exit -F arch=b64 -S execve -F path=/bin/login -F perm=x

这种基于auditd的监控方案能够有效识别潜在的安全威胁，为安全事件响应提供可靠的数据支撑。