在Linux系统安全领域,内核审计日志是威胁检测的重要工具。本文将通过具体配置案例,展示如何基于内核审计日志实现有效的威胁检测。
核心配置步骤
首先启用内核审计功能:
# 启用审计子系统
sudo modprobe audit
sudo systemctl enable auditd
sudo systemctl start auditd
接下来配置审计规则,重点关注敏感系统调用:
# 审计关键系统调用
sudo auditctl -a always,exit -F arch=b64 -S execve -F euid=0 -F perm=x
sudo auditctl -a always,exit -F arch=b64 -S openat -F dirfd=-1 -F name=/etc/shadow
实际检测案例
通过以下脚本可实时监控审计日志:
#!/bin/bash
# 监控root权限的execve调用
journalctl -f | grep "audit.*arch=b64.*execve" | grep "euid=0"
配置验证
验证配置是否生效:
# 查看当前审计规则
sudo auditctl -l
# 检查日志输出
sudo journalctl -u auditd | tail -20
通过上述配置,可有效捕获异常的系统调用行为,为系统安全防护提供可靠的数据支持。
讨论