Linux安全审计实战：通过auditd实现系统关键文件访问监控

Linux安全审计实战：通过auditd实现系统关键文件访问监控

在Linux系统安全防护中，对关键文件的访问监控是重要的安全措施。本文将详细介绍如何使用auditd服务来监控系统关键文件的访问行为。

环境准备

首先确保系统已安装auditd服务：

# Ubuntu/Debian
sudo apt install auditd

# CentOS/RHEL
sudo yum install audit

配置步骤

1. 添加文件监控规则

sudo auditctl -w /etc/shadow -p rwxa -k shadow_access
sudo auditctl -w /etc/passwd -p rwxa -k passwd_access
sudo auditctl -w /etc/sudoers -p rwxa -k sudoers_access

2. 持久化配置 将规则添加到配置文件中：

# 编辑配置文件
sudo vim /etc/audit/rules.d/audit.rules

# 添加以下内容
-w /etc/shadow -p rwxa -k shadow_access
-w /etc/passwd -p rwxa -k passwd_access
-w /etc/sudoers -p rwxa -k sudoers_access

3. 重启服务

sudo systemctl restart auditd
sudo systemctl enable auditd

查看审计日志

# 实时查看审计日志
sudo ausearch -k shadow_access

# 查看特定时间范围的日志
sudo ausearch -k shadow_access --start recent

日志分析示例

当有程序访问这些文件时，审计日志会显示类似内容：

type=SYSCALL msg=audit(1634567890.123:456): arch=c000003e syscall=257 success=yes exit=3 a0=7fff5c8d9a00 a1=1000000000000000 a2=0 a3=7fff5c8d9a00 items=1 ppid=1234 pid=5678 auid=1000 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts0 comm="bash" exe="/bin/bash" key="shadow_access"

通过这种方式，可以有效监控系统关键文件的访问行为，及时发现异常访问。

安全建议

• 定期审查审计日志
• 设置告警机制及时响应异常访问
• 限制对敏感文件的访问权限