安全配置审计记录:通过auditd日志分析系统访问异常行为
在Linux系统安全防护体系中,auditd作为内核级审计工具,能够记录系统关键操作行为。本文将通过实际案例展示如何利用auditd进行访问异常行为分析。
案例背景
某企业服务器频繁出现未授权的root账户登录尝试。通过配置auditd规则,我们成功捕获了异常登录行为并定位攻击源。
安全配置步骤
- 安装auditd
# Ubuntu/Debian
sudo apt install auditd
# CentOS/RHEL
sudo yum install audit
- 配置审计规则
# 监控登录尝试
sudo auditctl -w /bin/login -p x -k login_attempt
# 监控敏感文件访问
sudo auditctl -w /etc/shadow -p rwa -k shadow_access
# 监控root账户操作
sudo auditctl -a always,exit -F euid=0 -F arch=b64 -S execve -k root_exec
- 日志分析
# 查看特定关键字日志
ausearch -k login_attempt
# 按时间范围筛选
ausearch --start recent -time 1h
实际效果
通过上述配置,系统成功捕获了3次异常登录尝试,并定位到IP地址为192.168.1.100的攻击源。结合iptables规则对该IP进行封禁,有效阻止了进一步攻击。
此实践验证了auditd在系统安全监控中的关键作用,建议所有生产环境部署相关审计规则。
讨论