Cara menyediakan audit keselamatan sistem pada Linux
Dalam era digital hari ini, keselamatan rangkaian telah menjadi cabaran utama yang kami hadapi. Untuk melindungi sistem dan data kami daripada akses tanpa kebenaran dan serangan berniat jahat, kami perlu melaksanakan satu siri langkah keselamatan. Salah satunya ialah menghidupkan pengauditan keselamatan sistem. Artikel ini akan memperkenalkan anda kepada cara menyediakan pengauditan keselamatan sistem pada Linux, dengan contoh kod yang berkaitan.
Pertama sekali, kita perlu memahami apa itu audit keselamatan sistem. Pengauditan keselamatan sistem ialah kaedah pemantauan dan merekod aktiviti sistem untuk mengesan dan menganalisis potensi risiko dan ancaman keselamatan. Ia boleh merekodkan peristiwa log masuk dan log keluar, akses fail dan direktori, proses aktiviti dan maklumat aktiviti sistem lain. Dengan menganalisis maklumat ini, kami dapat mengesan tingkah laku yang tidak normal dalam masa dan mengambil langkah yang sesuai.
Dalam sistem Linux, kita boleh menggunakan subsistem Pengauditan (auditd) untuk melaksanakan pengauditan keselamatan sistem. Pertama, pastikan sistem anda telah memasang pakej auditd. Jika ia tidak dipasang, anda boleh memasangnya menggunakan arahan berikut:
sudo apt-get install auditd
Selepas pemasangan selesai, kita perlu mengkonfigurasi auditd untuk memulakan aktiviti sistem rakaman. Buka fail/etc/audit/auditd.conf
dan pastikan tetapan berikut didayakan:/etc/audit/auditd.conf
文件,并确保以下设置被启用:
# 启用系统启动记录 # # 当auditd服务启动时,会记录一条启动记录 # # 可以通过`ausearch -m SYSTEM_BOOT`命令检查这条记录 # # 默认值为no # # 将其设置为yes开启记录 AUDITD_ENABLED=yes
接下来,我们需要配置audit规则,以指定我们希望记录的系统活动类型。例如,以下规则将记录登录和注销事件、文件和目录的访问:
# 监控登录和注销事件 -a always,exit -F arch=b64 -S execve -k login_logout # 监控文件和目录访问 -w /etc/passwd -p wa -k file_access -w /etc/shadow -p wa -k file_access -w /etc/group -p wa -k file_access
将以上规则添加到/etc/audit/rules.d/audit.rules
sudo auditctl -R /etc/audit/rules.d/audit.rules
sudo auditctl -a always,exit -F arch=b64 -S execve -k login_logout
/etc/audit/rules.d/audit.rules
untuk berkuat kuasa . Selepas menyimpan fail, gunakan arahan berikut untuk memuat semula peraturan audit:
ausearch -m SYSTEM_LOGIN,SYSTEM_LOGOUT
sudo aureport --start recent-hour -x --event login_logout
AUDITD_ENABLED=yes
# 监控登录和注销事件 -a always,exit -F arch=b64 -S execve -k login_logout # 监控文件和目录访问 -w /etc/passwd -p wa -k file_access -w /etc/shadow -p wa -k file_access -w /etc/group -p wa -k file_access
rrreee
/etc/audit/rules.d/audit.rulesrrreee
sudo auditctl -a always,exit -F arch=b64 -S execve login_logout ausearch -m SYSTEM_LOGIN,SYSTEM_LOGOUTsudo aureport --mula baru-baru-jam -x --event login_logoutAtas ialah kandungan terperinci Bagaimana untuk menyediakan pengauditan keselamatan sistem pada Linux. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!