如何在Linux上設定係統安全審計

如何在Linux上設定係統安全審計

在當今數位化時代，網路安全已經成為了我們面臨的一項重大挑戰。為了保護我們的系統和資料免受未經授權的存取和惡意攻擊，我們需要實施一系列安全措施。其中之一就是開啟系統安全審計。本文將為您介紹如何在Linux上設定係統安全審計，並附有相關程式碼範例。

首先，我們需要了解什麼是系統安全審計。系統安全審計是一種監控和記錄系統活動的方法，以便偵測和分析潛在的安全風險和威脅。它可以記錄登入和登出事件、檔案和目錄的存取、進程活動等系統活動資訊。透過分析這些訊息，我們可以及時發現異常行為並採取相應的措施。

在Linux系統中，我們可以使用Auditing子系統（auditd）來實現系統安全審計。首先，請確保您的系統已經安裝了auditd軟體包。如果沒有安裝，可以使用以下命令安裝：

sudo apt-get install auditd

安裝完成後，我們需要設定auditd以開始記錄系統活動。開啟/etc/audit/auditd.conf文件，並確保以下設定已啟用：

# 启用系统启动记录
#
# 当auditd服务启动时，会记录一条启动记录
#
# 可以通过`ausearch -m SYSTEM_BOOT`命令检查这条记录
#
# 默认值为no
#
# 将其设置为yes开启记录

AUDITD_ENABLED=yes

接下來，我們需要設定audit規則，以指定我們希望記錄的系統活動類型。例如，以下規則將記錄登入和登出事件、檔案和目錄的存取：

# 监控登录和注销事件
-a always,exit -F arch=b64 -S execve -k login_logout

# 监控文件和目录访问
-w /etc/passwd -p wa -k file_access
-w /etc/shadow -p wa -k file_access
-w /etc/group -p wa -k file_access

將上述規則加入/etc/audit/rules.d/audit.rules檔案中即可生效。儲存檔案後，使用以下指令重新載入audit規則：

sudo auditctl -R /etc/audit/rules.d/audit.rules

此外，我們也可以透過auditctl指令即時新增、修改和刪除執行時的audit規則。例如，以下命令將監控使用者的登入和登出事件：

sudo auditctl -a always,exit -F arch=b64 -S execve -k login_logout

要查看已記錄的系統活動，我們可以使用ausearch命令。例如，以下指令將會尋找所有登入和登出事件的記錄：

ausearch -m SYSTEM_LOGIN,SYSTEM_LOGOUT

最後，為了方便分析和報告系統活動，我們可以使用auditd工具提供的稽核日誌解析腳本。這些腳本可以將稽核日誌轉換成易讀的格式，並提供各種過濾和統計功能。例如，以下命令將顯示最近一個小時內的登入和登出事件：

sudo aureport --start recent-hour -x --event login_logout

透過上述步驟，我們可以在Linux系統上設定係統安全性審計，並透過監控和記錄系統活動來提高系統的安全性。然而，值得注意的是，系統安全審計只是安全措施之一，還需要綜合使用其他安全措施來建立一個完整的安全防護體系。

總之，系統安全審計對於保護我們的系統和資料免受未經授權的存取和惡意攻擊至關重要。本文提供了在Linux上設定係統安全審計的步驟和程式碼範例，希望能對您有所幫助。

參考程式碼：

/etc/audit/auditd.conf

AUDITD_ENABLED=yes

/etc/audit/rules.d/audit.rules

# 监控登录和注销事件
-a always,exit -F arch=b64 -S execve -k login_logout

# 监控文件和目录访问
-w /etc/passwd -p wa -k file_access
-w /etc/shadow -p wa -k file_access
-w /etc/group -p wa -k file_access

sudo auditctl -a always,exit -F arch=b64 -S execve -k login_logout

ausearch -m SYSTEM_LOGIN,SYSTEM_LOGOUT

sudo aureport --start recent-hour -x --event login_logout

以上是如何在Linux上設定係統安全審計的詳細內容。更多資訊請關注PHP中文網其他相關文章！