Linux에서 시스템 보안 감사를 설정하는 방법
오늘날의 디지털 시대에 네트워크 보안은 우리가 직면한 주요 과제가 되었습니다. 무단 액세스와 악의적인 공격으로부터 시스템과 데이터를 보호하려면 일련의 보안 조치를 구현해야 합니다. 그 중 하나는 시스템 보안 감사를 활성화하는 것입니다. 이 문서에서는 관련 코드 예제와 함께 Linux에서 시스템 보안 감사를 설정하는 방법을 소개합니다.
먼저 시스템 보안 감사가 무엇인지 이해해야 합니다. 시스템 보안 감사는 잠재적인 보안 위험과 위협을 감지하고 분석하기 위해 시스템 활동을 모니터링하고 기록하는 방법입니다. 로그인 및 로그아웃 이벤트, 파일 및 디렉토리 액세스, 프로세스 활동 및 기타 시스템 활동 정보를 기록할 수 있습니다. 이러한 정보를 분석함으로써 당사는 이상 행위를 적시에 감지하고 적절한 조치를 취할 수 있습니다.
Linux 시스템에서는 감사 하위 시스템(auditd)을 사용하여 시스템 보안 감사를 구현할 수 있습니다. 먼저 시스템에 auditd 패키지가 설치되어 있는지 확인하십시오. 설치되지 않은 경우 다음 명령을 사용하여 설치할 수 있습니다.
sudo apt-get install auditd
설치가 완료된 후 시스템 활동 기록을 시작하도록 auditd를 구성해야 합니다. /etc/audit/auditd.conf
파일을 열고 다음 설정이 활성화되어 있는지 확인하세요. /etc/audit/auditd.conf
文件,并确保以下设置被启用:
# 启用系统启动记录 # # 当auditd服务启动时,会记录一条启动记录 # # 可以通过`ausearch -m SYSTEM_BOOT`命令检查这条记录 # # 默认值为no # # 将其设置为yes开启记录 AUDITD_ENABLED=yes
接下来,我们需要配置audit规则,以指定我们希望记录的系统活动类型。例如,以下规则将记录登录和注销事件、文件和目录的访问:
# 监控登录和注销事件 -a always,exit -F arch=b64 -S execve -k login_logout # 监控文件和目录访问 -w /etc/passwd -p wa -k file_access -w /etc/shadow -p wa -k file_access -w /etc/group -p wa -k file_access
将以上规则添加到/etc/audit/rules.d/audit.rules
sudo auditctl -R /etc/audit/rules.d/audit.rules
sudo auditctl -a always,exit -F arch=b64 -S execve -k login_logout
/etc/audit/rules.d/audit.rules
파일에 추가하면 적용됩니다. . 파일을 저장한 후 다음 명령을 사용하여 감사 규칙을 다시 로드합니다. ausearch -m SYSTEM_LOGIN,SYSTEM_LOGOUT
sudo aureport --start recent-hour -x --event login_logout
AUDITD_ENABLED=yes
# 监控登录和注销事件 -a always,exit -F arch=b64 -S execve -k login_logout # 监控文件和目录访问 -w /etc/passwd -p wa -k file_access -w /etc/shadow -p wa -k file_access -w /etc/group -p wa -k file_access
rrreee
/etc/audit/rules.d/audit.rulesrrreee
sudo auditctl -a Always,exit -F Arch=b64 -S execve -k login_logoutausearch -m SYSTEM_LOGIN,SYSTEM_LOGOUT🎜🎜sudo aureport --최근 시간 시작 -x --event login_logout🎜위 내용은 Linux에서 시스템 보안 감사를 설정하는 방법의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!