Bagaimana untuk menyediakan pengauditan keselamatan sistem pada Linux

Cara menyediakan audit keselamatan sistem pada Linux

Dalam era digital hari ini, keselamatan rangkaian telah menjadi cabaran utama yang kami hadapi. Untuk melindungi sistem dan data kami daripada akses tanpa kebenaran dan serangan berniat jahat, kami perlu melaksanakan satu siri langkah keselamatan. Salah satunya ialah menghidupkan pengauditan keselamatan sistem. Artikel ini akan memperkenalkan anda kepada cara menyediakan pengauditan keselamatan sistem pada Linux, dengan contoh kod yang berkaitan.

Pertama sekali, kita perlu memahami apa itu audit keselamatan sistem. Pengauditan keselamatan sistem ialah kaedah pemantauan dan merekod aktiviti sistem untuk mengesan dan menganalisis potensi risiko dan ancaman keselamatan. Ia boleh merekodkan peristiwa log masuk dan log keluar, akses fail dan direktori, proses aktiviti dan maklumat aktiviti sistem lain. Dengan menganalisis maklumat ini, kami dapat mengesan tingkah laku yang tidak normal dalam masa dan mengambil langkah yang sesuai.

Dalam sistem Linux, kita boleh menggunakan subsistem Pengauditan (auditd) untuk melaksanakan pengauditan keselamatan sistem. Pertama, pastikan sistem anda telah memasang pakej auditd. Jika ia tidak dipasang, anda boleh memasangnya menggunakan arahan berikut:

sudo apt-get install auditd

Selepas pemasangan selesai, kita perlu mengkonfigurasi auditd untuk memulakan aktiviti sistem rakaman. Buka fail /etc/audit/auditd.conf dan pastikan tetapan berikut didayakan: /etc/audit/auditd.conf文件，并确保以下设置被启用：

# 启用系统启动记录
#
# 当auditd服务启动时，会记录一条启动记录
#
# 可以通过`ausearch -m SYSTEM_BOOT`命令检查这条记录
#
# 默认值为no
#
# 将其设置为yes开启记录

AUDITD_ENABLED=yes

接下来，我们需要配置audit规则，以指定我们希望记录的系统活动类型。例如，以下规则将记录登录和注销事件、文件和目录的访问：

# 监控登录和注销事件
-a always,exit -F arch=b64 -S execve -k login_logout

# 监控文件和目录访问
-w /etc/passwd -p wa -k file_access
-w /etc/shadow -p wa -k file_access
-w /etc/group -p wa -k file_access

将以上规则添加到/etc/audit/rules.d/audit.rules

sudo auditctl -R /etc/audit/rules.d/audit.rules

Seterusnya, kita perlu mengkonfigurasi peraturan audit untuk menentukan jenis aktiviti sistem yang ingin kita log . Sebagai contoh, peraturan berikut akan merekodkan peristiwa log masuk dan log keluar, akses fail dan direktori:

sudo auditctl -a always,exit -F arch=b64 -S execve -k login_logout

Tambahkan peraturan di atas pada fail /etc/audit/rules.d/audit.rules untuk berkuat kuasa . Selepas menyimpan fail, gunakan arahan berikut untuk memuat semula peraturan audit:

ausearch -m SYSTEM_LOGIN,SYSTEM_LOGOUT

Selain itu, kami juga boleh menambah, mengubah suai dan memadam peraturan audit runtime dalam masa nyata melalui arahan auditctl. Sebagai contoh, arahan berikut akan memantau peristiwa log masuk dan log keluar pengguna:

sudo aureport --start recent-hour -x --event login_logout

Untuk melihat aktiviti sistem yang dilog, kita boleh menggunakan arahan ausearch. Sebagai contoh, arahan berikut akan mencari rekod semua peristiwa log masuk dan log keluar:

AUDITD_ENABLED=yes

Akhir sekali, untuk memudahkan analisis dan pelaporan aktiviti sistem, kami boleh menggunakan skrip penghuraian log audit yang disediakan oleh alat auditd. Skrip ini boleh menukar log audit ke dalam format yang boleh dibaca manusia dan menyediakan pelbagai fungsi penapisan dan statistik. Sebagai contoh, arahan berikut akan memaparkan acara log masuk dan log keluar dalam sejam terakhir:

# 监控登录和注销事件
-a always,exit -F arch=b64 -S execve -k login_logout

# 监控文件和目录访问
-w /etc/passwd -p wa -k file_access
-w /etc/shadow -p wa -k file_access
-w /etc/group -p wa -k file_access

Melalui langkah di atas, kami boleh menyediakan pengauditan keselamatan sistem pada sistem Linux dan meningkatkan keselamatan sistem dengan memantau dan merekod aktiviti sistem . Walau bagaimanapun, perlu diperhatikan bahawa audit keselamatan sistem hanyalah salah satu daripada langkah keselamatan, dan langkah keselamatan lain perlu digunakan secara menyeluruh untuk mewujudkan sistem perlindungan keselamatan yang lengkap.

Kesimpulannya, pengauditan keselamatan sistem adalah penting untuk melindungi sistem dan data kami daripada akses tanpa kebenaran dan serangan berniat jahat. Artikel ini menyediakan langkah dan contoh kod untuk menyediakan pengauditan keselamatan sistem pada Linux Kami berharap ia akan membantu anda.

Kod rujukan:

/etc/audit/auditd.conf

rrreee

/etc/audit/rules.d/audit.rules

rrreee

sudo auditctl -a always,exit -F arch=b64 -S execve login_logout

ausearch -m SYSTEM_LOGIN,SYSTEM_LOGOUT🎜🎜sudo aureport --mula baru-baru-jam -x --event login_logout🎜

Atas ialah kandungan terperinci Bagaimana untuk menyediakan pengauditan keselamatan sistem pada Linux. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!