系统管理员必学：Linux内核中的安全审计机制配置

系统管理员必学：Linux内核中的安全审计机制配置

在Linux系统管理中，内核安全审计是保障系统安全的重要环节。本文将深入探讨如何配置内核审计机制，通过具体案例演示完整的配置流程。

审计机制基础

Linux审计子系统通过auditd守护进程监控系统调用和文件访问。首先确认内核支持审计功能：

# 检查内核是否启用审计
grep CONFIG_AUDIT /boot/config-$(uname -r)
# 或者
lsmod | grep audit

具体配置案例

场景：监控sudo命令执行

1. 安装审计工具：

# Ubuntu/Debian
apt-get install auditd audispd-plugins

# CentOS/RHEL
yum install audit audit-libs

2. 配置审计规则：

# 添加监控sudo的规则
auditctl -a always,exit -F path=/usr/bin/sudo -F perm=x -F key=sudo_access

# 持久化配置到文件
echo "-a always,exit -F path=/usr/bin/sudo -F perm=x -F key=sudo_access" >> /etc/audit/rules.d/audit.rules

3. 重启服务：

systemctl restart auditd
systemctl enable auditd

高级配置示例

文件权限变更监控：

# 监控/etc/passwd文件修改
auditctl -w /etc/passwd -p wa -k passwd_change

日志分析

通过以下命令查看审计日志：

ausearch -k sudo_access
ausearch -k passwd_change

配置完成后，系统将记录所有符合规则的事件，为安全事件响应提供可靠依据。