Linux에서 시스템 보안 감사를 설정하는 방법

Linux에서 시스템 보안 감사를 설정하는 방법

오늘날의 디지털 시대에 네트워크 보안은 우리가 직면한 주요 과제가 되었습니다. 무단 액세스와 악의적인 공격으로부터 시스템과 데이터를 보호하려면 일련의 보안 조치를 구현해야 합니다. 그 중 하나는 시스템 보안 감사를 활성화하는 것입니다. 이 문서에서는 관련 코드 예제와 함께 Linux에서 시스템 보안 감사를 설정하는 방법을 소개합니다.

먼저 시스템 보안 감사가 무엇인지 이해해야 합니다. 시스템 보안 감사는 잠재적인 보안 위험과 위협을 감지하고 분석하기 위해 시스템 활동을 모니터링하고 기록하는 방법입니다. 로그인 및 로그아웃 이벤트, 파일 및 디렉토리 액세스, 프로세스 활동 및 기타 시스템 활동 정보를 기록할 수 있습니다. 이러한 정보를 분석함으로써 당사는 이상 행위를 적시에 감지하고 적절한 조치를 취할 수 있습니다.

Linux 시스템에서는 감사 하위 시스템(auditd)을 사용하여 시스템 보안 감사를 구현할 수 있습니다. 먼저 시스템에 auditd 패키지가 설치되어 있는지 확인하십시오. 설치되지 않은 경우 다음 명령을 사용하여 설치할 수 있습니다.

sudo apt-get install auditd

설치가 완료된 후 시스템 활동 기록을 시작하도록 auditd를 구성해야 합니다. /etc/audit/auditd.conf 파일을 열고 다음 설정이 활성화되어 있는지 확인하세요. /etc/audit/auditd.conf文件，并确保以下设置被启用：

# 启用系统启动记录
#
# 当auditd服务启动时，会记录一条启动记录
#
# 可以通过`ausearch -m SYSTEM_BOOT`命令检查这条记录
#
# 默认值为no
#
# 将其设置为yes开启记录

AUDITD_ENABLED=yes

接下来，我们需要配置audit规则，以指定我们希望记录的系统活动类型。例如，以下规则将记录登录和注销事件、文件和目录的访问：

# 监控登录和注销事件
-a always,exit -F arch=b64 -S execve -k login_logout

# 监控文件和目录访问
-w /etc/passwd -p wa -k file_access
-w /etc/shadow -p wa -k file_access
-w /etc/group -p wa -k file_access

将以上规则添加到/etc/audit/rules.d/audit.rules

sudo auditctl -R /etc/audit/rules.d/audit.rules

다음으로 기록하려는 시스템 활동 유형을 지정하도록 감사 규칙을 구성해야 합니다. . 예를 들어, 다음 규칙은 로그인 및 로그아웃 이벤트, 파일 및 디렉터리 액세스를 기록합니다.

sudo auditctl -a always,exit -F arch=b64 -S execve -k login_logout

위 규칙을 /etc/audit/rules.d/audit.rules 파일에 추가하면 적용됩니다. . 파일을 저장한 후 다음 명령을 사용하여 감사 규칙을 다시 로드합니다.

ausearch -m SYSTEM_LOGIN,SYSTEM_LOGOUT

또한 auditctl 명령을 통해 실시간으로 런타임 감사 규칙을 추가, 수정 및 삭제할 수도 있습니다. 예를 들어 다음 명령은 사용자의 로그인 및 로그아웃 이벤트를 모니터링합니다.

sudo aureport --start recent-hour -x --event login_logout

기록된 시스템 활동을 보려면 ausearch 명령을 사용할 수 있습니다. 예를 들어 다음 명령은 모든 로그인 및 로그아웃 이벤트의 기록을 찾습니다.

AUDITD_ENABLED=yes

마지막으로 시스템 활동의 분석 및 보고를 용이하게 하기 위해 auditd 도구에서 제공하는 감사 로그 구문 분석 스크립트를 사용할 수 있습니다. 이러한 스크립트는 감사 로그를 사람이 읽을 수 있는 형식으로 변환하고 다양한 필터링 및 통계 기능을 제공할 수 있습니다. 예를 들어 다음 명령은 지난 한 시간 동안의 로그인 및 로그아웃 이벤트를 표시합니다.

# 监控登录和注销事件
-a always,exit -F arch=b64 -S execve -k login_logout

# 监控文件和目录访问
-w /etc/passwd -p wa -k file_access
-w /etc/shadow -p wa -k file_access
-w /etc/group -p wa -k file_access

위 단계를 통해 Linux 시스템에서 시스템 보안 감사를 설정하고 시스템 활동을 모니터링하고 기록하여 시스템 보안을 향상할 수 있습니다. . 그러나 시스템 보안 감사는 보안 조치 중 하나일 뿐이며, 완전한 보안 보호 시스템을 구축하려면 다른 보안 조치를 포괄적으로 사용해야 한다는 점은 주목할 가치가 있습니다.

결론적으로, 시스템 보안 감사는 무단 액세스와 악의적인 공격으로부터 시스템과 데이터를 보호하는 데 매우 중요합니다. 이 문서에서는 Linux에서 시스템 보안 감사를 설정하는 단계와 코드 예제를 제공합니다.

참조 코드:

/etc/audit/auditd.conf

rrreee

/etc/audit/rules.d/audit.rules

rrreee

sudo auditctl -a Always,exit -F Arch=b64 -S execve -k login_logout

ausearch -m SYSTEM_LOGIN,SYSTEM_LOGOUT🎜🎜sudo aureport --최근 시간 시작 -x --event login_logout🎜

위 내용은 Linux에서 시스템 보안 감사를 설정하는 방법의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!