本文介紹如何安裝、配置和管理審計服務。它還展示瞭如何定義審計規則、搜尋審計日誌和建立審計報告。

安裝audit

audit包預設安裝在 8中。如果未安裝，請使用以下新增：

[root@localhost ~]# yum -y install audit

審計配置檔案 /etc/audit/auditd.conf。該檔案包含更改 auditd 守護程式行為的預設引數。

管理審計服務

配置 auditd 後，啟動服務來收集審計資訊：

# service auditd start

使用 service 而不是 systemctl 的唯一原因是正確記錄使用者 ID (UID) 值。

設定開機啟動：

# systemctl enable auditd

定義審計規則

使用 auditctl 工具，可以在你想要的任何系統呼叫上新增審計規則。規則會按順序執行。

下一步定義監視規則。此規則跟蹤檔案或目錄是否由某些型別的訪問觸發，包括讀取、寫入、執行和屬性更改。

定義規則的語法是：

auditctl -w path_to_file -p permissions -k key_name

如要稽核使用者建立操作，首先，向 /etc/passwd 檔案新增監視以跟蹤寫入和屬性更改訪問，並新增自定義鍵以記錄所有訊息（此自定義鍵可用於過濾日誌訊息）：

[root@localhost ~]# auditctl -w /etc/passwd -p wa -k user-modify

接下來，新增一個新使用者。這樣做會更改 /etc/passwd 檔案：

[root@localhost ~]# useradd user01

最後，檢查 auditd 是否記錄了更改。預設情況下，auditd 將日誌儲存在 /var/log/audit/audit.log 檔案中：

[root@localhost ~]# cat /var/log/audit/audit.log | grep user-modify

Centos8 使用auditd配置系統審計Centos8 使用auditd配置系統審計

定義持久審計規則

要使audit規則在重新啟動後保持不變，請將它們新增到 /etc/audit/rules.d/audit.rules檔案中。

下面在 audit.rules 檔案中定義永續性規則以監視 /etc/passwd 檔案的更改。

-w /etc/passwd -p wa -k user-modify

Centos8 使用auditd配置系統審計Centos8 使用auditd配置系統審計
儲存檔案，然後重新載入 auditd 守護程式以實現對規則檔案中配置的更改：

[root@localhost ~]# service auditd reload

Centos8 使用auditd配置系統審計Centos8 使用auditd配置系統審計
可以執行 auditctl -l列出規則：

[root@localhost ~]# auditctl -l
-w /etc/passwd -p wa -k user-modify

Centos8 使用auditd配置系統審計Centos8 使用auditd配置系統審計
最後，新增新使用者或更改 /etc/passwd 檔案會出發審計。更改記錄在 /var/log/audit/audit.log 中，即使系統重新啟動，規則仍然存在。

搜尋審計日誌

使用 ausearch工具搜尋審計日誌。預設情況下，它搜尋 /var/log/audit/audit.log 檔案。

例如，要根據 key_name 搜尋日誌條目，搜尋有關 user-modify相關的：

[root@localhost ~]# ausearch -i -k user-modify

Centos8 使用auditd配置系統審計Centos8 使用auditd配置系統審計

建立審計報告

使用 aureport 工具根據審計日誌查詢和建立審計報告。

[root@localhost ~]# aureport

Centos8 使用auditd配置系統審計Centos8 使用auditd配置系統審計
檢視關於嘗試身份驗證的報告：

[root@localhost ~]# aureport -au
Authentication Report
============================================
# date time acct host term exe success event
============================================
1. 11/10/2021 23:42:19 root localhost.localdomain tty1 /usr/bin/login yes 81
2. 11/10/2021 23:44:08 root 192.168.43.1 ssh /usr/sbin/sshd yes 111
3. 11/10/2021 23:54:31 root 192.168.43.1 ssh /usr/sbin/sshd yes 76
4. 11/11/2021 00:44:30 root 192.168.43.1 ssh /usr/sbin/sshd yes 81
5. 11/11/2021 00:58:41 root 192.168.43.1 ssh /usr/sbin/sshd yes 131
6. 11/11/2021 01:13:12 root 192.168.43.1 ssh /usr/sbin/sshd no 156

Centos8 使用auditd配置系統審計Centos8 使用auditd配置系統審計
其中 no代表驗證失敗。 yes代表驗證成功。

總結

在本文中學習瞭如何使用auditctl 臨時定義auditd 規則，並在audit.rules 檔案中永久定義。最後分別使用 ausearch 和 aureport 命令搜尋了審計日誌並生成了審計報告。

Centos8 使用auditd配置系統審計

相關文章