Linux でシステム セキュリティ監査を設定する方法

Linux でシステム セキュリティ監査を設定する方法

今日のデジタル時代において、ネットワーク セキュリティは私たちが直面する大きな課題となっています。不正アクセスや悪意のある攻撃からシステムとデータを保護するには、一連のセキュリティ対策を実装する必要があります。その 1 つは、システム セキュリティ監査を有効にすることです。この記事では、Linux でシステム セキュリティ監査を設定する方法を、関連するコード例とともに紹介します。

まず、システム セキュリティ監査とは何かを理解する必要があります。システム セキュリティ監査は、潜在的なセキュリティ リスクと脅威を検出および分析するために、システム アクティビティを監視および記録する方法です。ログインおよびログアウト イベント、ファイルおよびディレクトリへのアクセス、プロセス アクティビティ、その他のシステム アクティビティ情報を記録できます。この情報を分析することで、異常な動作を適時に検出し、適切な措置を講じることができます。

Linux システムでは、監査サブシステム (auditd) を使用してシステム セキュリティ監査を実装できます。まず、システムにauditdパッケージがインストールされていることを確認してください。インストールされていない場合は、次のコマンドを使用してインストールできます。

sudo apt-get install auditd

インストールが完了したら、システム アクティビティの記録を開始するように Auditd を構成する必要があります。 /etc/audit/auditd.conf ファイルを開いて、次の設定が有効になっていることを確認します。

# 启用系统启动记录
#
# 当auditd服务启动时，会记录一条启动记录
#
# 可以通过`ausearch -m SYSTEM_BOOT`命令检查这条记录
#
# 默认值为no
#
# 将其设置为yes开启记录

AUDITD_ENABLED=yes

次に、監査ルールを構成して、監視するシステム アクティビティの種類を指定する必要があります。ログを取りたい。たとえば、次のルールは、ログイン イベントとログアウト イベント、ファイルとディレクトリのアクセスを記録します。

# 监控登录和注销事件
-a always,exit -F arch=b64 -S execve -k login_logout

# 监控文件和目录访问
-w /etc/passwd -p wa -k file_access
-w /etc/shadow -p wa -k file_access
-w /etc/group -p wa -k file_access

上記のルールを /etc/audit/rules.d/audit.rules ファイルに追加します。つまり、有効になる可能性があります。ファイルを保存した後、次のコマンドを使用して監査ルールを再ロードします。

sudo auditctl -R /etc/audit/rules.d/audit.rules

さらに、auditctl コマンドを使用して、ランタイム監査ルールをリアルタイムで追加、変更、削除することもできます。たとえば、次のコマンドはユーザーのログイン イベントとログアウト イベントを監視します。

sudo auditctl -a always,exit -F arch=b64 -S execve -k login_logout

ログに記録されたシステム アクティビティを表示するには、ausearch コマンドを使用できます。たとえば、次のコマンドは、すべてのログイン イベントとログアウト イベントのレコードを検索します。

ausearch -m SYSTEM_LOGIN,SYSTEM_LOGOUT

最後に、システム アクティビティの分析とレポートを容易にするために、auditd ツールが提供する監査ログ解析スクリプトを使用できます。 。これらのスクリプトは、監査ログを人間が判読できる形式に変換し、さまざまなフィルタリングおよび統計機能を提供できます。たとえば、次のコマンドは、過去 1 時間のログイン イベントとログアウト イベントを表示します。

sudo aureport --start recent-hour -x --event login_logout

上記の手順により、Linux システムにシステム セキュリティ監査を設定し、監視することでシステムのセキュリティを向上させることができます。そして記録システムの活動セックス。ただし、システムセキュリティ監査はセキュリティ対策の一つにすぎず、万全なセキュリティ保護体制を確立するには他のセキュリティ対策を総合的に活用する必要があることに注意してください。

要約すると、システム セキュリティ監査は、システムとデータを不正アクセスや悪意のある攻撃から保護するために重要です。この記事では、Linux でシステム セキュリティ監査を設定するための手順とコード例を示します。

参照コード:

/etc/audit/auditd.conf

AUDITD_ENABLED=yes

/etc/audit/rules.d/audit.rules

# 监控登录和注销事件
-a always,exit -F arch=b64 -S execve -k login_logout

# 监控文件和目录访问
-w /etc/passwd -p wa -k file_access
-w /etc/shadow -p wa -k file_access
-w /etc/group -p wa -k file_access

sudo Auditctl -a always,exit -F Arch=b64 -S execve -k login_logout

ausearch -m SYSTEM_LOGIN,SYSTEM_LOGOUT

sudo aureport --start Recent-hour -x --event login_logout

以上がLinux でシステム セキュリティ監査を設定する方法の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。