Linux系统审计实战:使用auditd记录敏感系统调用的配置方法
在Linux系统安全防护中,审计系统调用是识别潜在威胁和合规性检查的重要手段。auditd作为Linux审计系统的守护进程,能够实时监控并记录系统关键操作。
核心配置步骤
- 安装与启动:
sudo apt install auditd # Debian/Ubuntu
sudo yum install audit # RHEL/CentOS
sudo systemctl enable auditd && sudo systemctl start auditd
- 添加审计规则:
# 记录用户登录信息
auditctl -a always,exit -F arch=b64 -S execve -F euid=0 -F uid=0 -F pid!= $$ -F perm=x
# 监控敏感文件访问
auditctl -w /etc/shadow -p rwxa -k shadow_access
# 记录特权命令执行
auditctl -a always,exit -F arch=b64 -S execve -C 'auid>=1000' -F euid=0 -F perm=x
- 持久化配置: 编辑
/etc/audit/rules.d/audit.rules添加规则,确保重启后配置生效。
实际应用场景
- 违规操作追踪
- 安全事件响应
- 合规性审计(如PCI-DSS)
通过以上配置,系统可实时记录特权操作日志,为安全分析提供可靠数据支持。
讨论