在Linux系统安全防护中,内核级别的监控与审计是至关重要的环节。本文将介绍如何使用auditd工具来监控系统调用,这是系统管理员和安全工程师必须掌握的核心技能之一。
auditd简介
auditd是Linux审计系统的守护进程,能够实时监控并记录系统调用、文件访问、网络连接等关键活动。它基于内核的audit子系统,提供细粒度的安全监控能力。
基本配置步骤
- 安装auditd
# Ubuntu/Debian
sudo apt install auditd
# CentOS/RHEL
sudo yum install audit
- 启动服务
sudo systemctl start auditd
sudo systemctl enable auditd
- 配置规则示例 编辑
/etc/audit/audit.rules文件添加以下规则:
# 监控关键系统调用
-a always,exit -F arch=b64 -S execve -F euid=0 -k root_exec
# 监控敏感文件访问
-a always,exit -F arch=b64 -S openat -F dirfd=-1 -F path=/etc/shadow -F perm=ra -k shadow_access
# 监控用户登录活动
-a always,exit -F arch=b64 -S login -F auid>=1000 -F auid!=4294967295 -k user_login
验证配置
使用以下命令验证规则是否生效:
# 查看当前规则
sudo auditctl -l
# 实时监控日志
sudo tail -f /var/log/audit/audit.log
通过以上配置,系统管理员可以有效监控root权限执行、敏感文件访问等关键安全事件,为系统安全分析提供有力支撑。
讨论