Auditd Linux审计框架

一、什么是Auditd？

auditd是Linux系统中的一个核心组件，用于记录和跟踪系统中的安全相关事件。它是一个强大的工具，可以监控文件访问、进程启动、用户活动等，并将这些信息记录到日志中，以便进行安全分析、合规性检查和故障排查。

1.1 Auditd的功能

• 文件监控：可以监控特定文件或目录的访问和修改。
• 系统调用审计：记录系统调用的使用情况，例如打开文件、创建进程等。
• 用户活动跟踪：记录用户的登录、注销以及执行的命令。
• 规则配置灵活：可以根据需求自定义审计规则。

二、Auditd的基本架构

Auditd由三个主要部分组成：

1. 内核模块：负责捕获系统调用和其他内核事件。
2. 用户空间守护进程（auditd）：从内核接收事件并将其写入日志文件。
3. 工具集：包括ausearch、aureport等工具，用于查询和分析日志。

三、安装与配置Auditd

3.1 安装Auditd

在大多数Linux发行版中，可以通过包管理器安装auditd。以下是一些常见发行版的安装命令：

• Debian/Ubuntu:

  sudo apt update
  sudo apt install auditd
  

• CentOS/RHEL:

  sudo yum install audit
  

3.2 启动和启用Auditd服务

sudo systemctl start auditd
sudo systemctl enable auditd

3.3 配置Auditd规则

Auditd的规则存储在/etc/audit/audit.rules文件中。以下是一些常见的规则示例：

3.3.1 监控特定文件

如果想监控某个关键文件（如/etc/passwd），可以添加如下规则：

-a always,exit -F path=/etc/passwd -F perm=rwa -k passwd_changes

解释：

• -a always,exit：表示在事件退出时记录。
• -F path=/etc/passwd：指定要监控的文件路径。
• -F perm=rwa：指定监控的权限类型（读、写、属性更改）。
• -k passwd_changes：为该规则指定一个关键字，方便后续查询。

3.3.2 监控用户活动

监控特定用户的活动：

-w /home/user -p rwa -k user_activity

3.3.3 监控失败的登录尝试

记录所有失败的登录尝试：

-w /var/log/faillog -p wa -k login_failures

3.4 应用规则

修改完audit.rules后，需要重新加载规则以使其生效：

sudo service auditd restart

或者直接加载规则而不重启服务：

sudo auditctl -R /etc/audit/audit.rules

四、查询和分析日志

4.1 使用ausearch查询日志

ausearch是一个强大的工具，可以用来搜索审计日志。例如，查找与passwd_changes关键字相关的事件：

sudo ausearch -k passwd_changes

4.2 使用aureport生成报告

aureport可以生成各种类型的报告。例如，生成文件操作的汇总报告：

sudo aureport --file

五、实践案例：监控敏感文件

5.1 场景描述

假设我们需要监控/etc/shadow文件的访问和修改情况。

5.2 实践步骤

1. 编辑/etc/audit/audit.rules文件，添加以下规则：

   -w /etc/shadow -p rwxa -k shadow_file
   

2. 重新加载Auditd规则：

   sudo service auditd restart
   

3. 模拟访问/etc/shadow文件：

   sudo cat /etc/shadow
   

4. 查询相关日志：

   sudo ausearch -k shadow_file
   

5.3 结果分析

通过ausearch命令，我们可以看到每次对/etc/shadow文件的操作都被详细记录下来，包括操作时间、用户、进程ID等信息。

六、总结

Auditd是Linux系统中不可或缺的安全工具，能够帮助管理员监控系统活动、检测潜在威胁并满足合规性要求。通过合理配置审计规则和分析日志，可以有效提升系统的安全性。