当前位置：首页 > article >正文

Linux安全审计实战：auditd规则模板与日志分析

article 2026/3/24 4:22:02

一、auditd 常用规则模板永久规则直接复制所有规则均为永久规则需写入/etc/audit/rules.d/custom.rules文件加载后开机自动生效。按场景模块化划分可按需勾选添加。1. 账号安全监控防后门用户 / 账号篡改bash# 监控用户账号文件创建/修改/删除用户 -w /etc/passwd -p wa -k account_passwd # 用户账号核心文件 -w /etc/group -p wa -k account_group # 用户组文件 -w /etc/shadow -p wa -k account_shadow # 密码哈希文件高敏感 -w /etc/gshadow -p wa -k account_gshadow# 组密码文件 -w /var/log/wtmp -p wa -k login_history # 登录历史记录 -w /var/log/btmp -p wa -k failed_login # 失败登录记录2. 权限变更监控防提权 / 权限滥用bash# 监控权限修改工具 -w /usr/bin/chmod -p xa -k perm_chmod # 修改文件权限 -w /usr/bin/chown -p xa -k perm_chown # 修改文件所有者 -w /usr/bin/chgrp -p xa -k perm_chgrp # 修改文件所属组 # 监控sudo相关权限提升关键 -w /usr/bin/sudo -p xa -k sudo_exec # sudo命令执行 -w /etc/sudoers -p wa -k sudoers_modify # sudo配置文件修改 -w /etc/sudoers.d/ -p wa -k sudoers_d_modify # sudo附加配置目录3. 敏感目录 / 文件监控防数据泄露 / 篡改bash# 业务数据目录替换为实际路径 -w /data/ -p rwxa -k sensitive_data # 递归监控/data目录读/写/执行/属性变更 -w /var/www/html/ -p rwxa -k web_data # Web网站根目录适用于Web服务器 # 系统敏感文件 -w /etc/profile -p wa -k profile_modify # 环境变量配置文件 -w /etc/bashrc -p wa -k bashrc_modify # Bash配置文件 -w /etc/hosts -p wa -k hosts_modify # 主机映射文件4. 危险命令监控防误删 / 恶意破坏bash# 文件删除/移动命令 -w /usr/bin/rm -p xa -k cmd_rm # 删除文件高危 -w /usr/bin/rmdir -p xa -k cmd_rmdir # 删除目录 -w /usr/bin/mv -p xa -k cmd_mv # 移动/重命名文件 # 系统操作命令 -w /usr/bin/reboot -p xa -k cmd_reboot # 重启系统 -w /usr/bin/shutdown -p xa -k cmd_shutdown # 关闭系统 -w /usr/bin/dd -p xa -k cmd_dd # 磁盘读写防数据擦除5. SSH 安全监控防暴力破解 / 配置篡改bash# SSH配置文件监控 -w /etc/ssh/sshd_config -p wa -k sshd_config # SSH服务配置 -w /etc/ssh/ssh_config -p wa -k ssh_config # SSH客户端配置 # SSH登录日志监控按系统区分 -w /var/log/auth.log -p r -k ssh_login_ubuntu # Ubuntu SSH登录日志 # -w /var/log/secure -p r -k ssh_login_centos # CentOS SSH登录日志6. 系统脚本 / 启动项监控防恶意篡改bash# 系统启动脚本 -w /etc/init.d/ -p wa -k init_script # 系统服务脚本目录 -w /etc/rc.local -p wa -k rc_local # 开机自启脚本 -w /etc/systemd/system/ -p wa -k systemd_service # systemd服务配置 # 定时任务监控防恶意计划任务 -w /etc/crontab -p wa -k crontab_modify # 系统定时任务 -w /etc/cron.d/ -p wa -k cron_d_modify # 定时任务附加目录 -w /var/spool/cron/ -p wa -k cron_spool # 用户定时任务规则加载与验证必执行bash# 1. 保存规则文件后设置权限防止被篡改 sudo chown root:root /etc/audit/rules.d/custom.rules sudo chmod 600 /etc/audit/rules.d/custom.rules # 2. 加载规则立即生效无需重启auditd sudo augenrules --load # 3. 验证规则是否生效 sudo auditctl -l二、auditd 日志分析速查表核心命令直接复制审计日志默认路径/var/log/audit/audit.log核心工具为ausearch精准查询和aureport统计报表按功能分类整理。2.1 ausearch精准查询日志应急响应首选功能场景命令参数说明按关键词查询最常用sudo ausearch -k account_passwd -i-k规则关键词-i人性化输出查询指定时间范围日志sudo ausearch -k sensitive_data -ts 2024-06-01 -te 2024-06-02 -i-ts开始时间-te结束时间查询今日日志sudo ausearch -k cmd_rm -ts today -itoday简化时间支持yesterday查询失败事件sudo ausearch -m SYSCALL -f exit-EPERM -i-m事件类型exit-EPERM权限失败查询文件变更记录sudo ausearch -f /etc/passwd -i-f指定文件路径查询进程执行记录sudo ausearch -x /usr/bin/sudo -i-x指定进程名导出查询结果sudo ausearch -k ssh_login_ubuntu -i ssh_audit.log导出到文件便于分析2.2 aureport生成统计报表合规审计首选统计场景命令核心作用总体事件统计sudo aureport -i按事件类型汇总如账号变更、权限修改按用户统计操作sudo aureport -u -i定位高频操作用户防异常账号按进程统计执行sudo aureport -x -i统计进程执行次数排查恶意进程按文件统计变更sudo aureport -f -i汇总被修改的文件防数据篡改失败事件报表sudo aureport -f --failed -i仅显示失败操作如登录失败、权限不足时间范围报表sudo aureport -ts 09:00 -te 18:00 -i统计工作时间内的审计事件SSH 登录统计sudo aureport -k ssh_login_ubuntu -i按关键词统计 SSH 相关事件2.3 应急筛选快速定位异常直接复制bash# 1. 快速查找/etc/passwd被修改的记录 sudo grep account_passwd /var/log/audit/audit.log | tail -20 # 2. 查找最近10条rm命令执行日志 sudo ausearch -k cmd_rm -i | tail -10 # 3. 查找SSH登录失败记录 sudo ausearch -k failed_login -i # 4. 查找sudo执行的高危操作 sudo ausearch -k sudo_exec -i | grep rm\|chmod 777 # 5. 查找敏感目录/data的异常访问 sudo ausearch -k sensitive_data -i | grep WRITE\|DELETE三、使用注意事项核心提醒规则加载修改永久规则后必须执行sudo augenrules --load才能生效日志安全审计日志权限设为600chmod 600 /var/log/audit/audit.log仅 root 可读写防止被篡改性能优化避免监控/根目录或高 IO 目录如数据库数据目录否则会导致系统卡顿日志轮转调整/etc/audit/auditd.conf中的max_log_file100单日志 100MB和num_logs5保留 5 个轮转日志防止磁盘占满CentOS 7 特殊auditd 无法重启修改auditd.conf后需重启系统优先使用永久规则避免临时规则丢失。:::实战优化技巧关键词命名规范统一用 “场景_操作” 格式如account_passwd、cmd_rm便于日志过滤模块化管理规则文件按 “场景注释规则” 分组后续可按需启用 / 禁用远程备份将审计日志同步到 ELK、Graylog 等远程日志服务器防止本地日志被删除。四、总结规则模板核心按 “账号安全→权限变更→敏感数据→危险命令” 优先级配置覆盖 80% 企业安全场景日志分析逻辑应急响应用ausearch精准查询合规审计用aureport生成报表落地建议先配置 “账号安全 SSH 安全危险命令” 核心规则再根据业务需求添加敏感目录监控。所有规则和命令均可直接复制执行无需手动编写适合 Linux 运维、安全工程师快速部署 auditd 审计系统。文末互动觉得文章实用点赞收藏关注后续持续更新 Linux 安全加固、应急响应实战工具包

Linux安全审计实战：auditd规则模板与日志分析

相关文章：

Linux安全审计实战：auditd规则模板与日志分析

海景美女图FLUX.1部署教程：supervisorctl重启+服务状态查看

低空经济新基建：eVTOL起降枢纽与智能微电网的融合重构与架构演进（WORD）

MCP协议初探：标准化Z-Image-Turbo模型服务接口的可能性

BEVBert实战：如何用多模态地图预训练提升机器人导航精度（附代码解析）

别再混淆了！详解random.choices()和random.sample()的5个关键区别

MPU6050实战调试：从硬件摆放到软件驱动的避坑指南

XFTP连接服务器后文件夹一片空白？别慌，关掉这个选项就能搞定

空调集中智能控制系统方案：物联网自适应调节，打造智慧办公新体验

神经版权战争：前公司索要我脑中的代码——软件测试从业者的专业视角

51单片机火灾报警系统避坑指南：从原理图设计到PCB布局的5个关键点

嵌入式LED控制库Blink：极简GPIO翻转与实时性设计

剖析 Dify 知识库检索链路：从向量召回异常看大模型配置陷阱

Wavedrom-从入门到精通：用代码绘制专业数字时序图

Node Editor Framework深度定制：从节点到画布的全链路扩展实践

2026年AI开发必备：Qwen2.5高性能部署实战

璀璨星河开源应用案例：非遗传承人用AI复现传统工笔画风格技法

React Server Components原型污染漏洞（CVE-2025-55182）深度解析：从requireModule函数看JavaScript安全

Z-Image Atelier 版本控制实践：使用Git管理模型配置与生成脚本

通义千问1.5-1.8B-Chat-GPTQ-Int4在AIGC内容创作中的应用：辅助撰写技术博客与文档

SAP假脱机请求的常见误区与高效查询技巧

MRI扫描参数怎么调？临床技师分享：3T设备上优化FSE、SSFP序列的实战避坑指南

深度解析foobox-cn：foobar2000终极DUI皮肤美化实战指南

Buildroot环境下QT编译踩坑记：如何正确选择qmake解决Unknown module错误

Abaqus自动化仿真工具开发避坑指南：从脚本封装到调度工具实战

Electron 中 WebContentsView 与 BrowserView 的深度对比与应用场景解析

芯片研发团队，很多仗只有领导才能打

毕业季学术生产力救星：百考通AI全流程论文智能辅助实战解析

从零开始：使用PHPStudy+Verilog搭建一生一芯双控开关实验环境

Python 3.15扩展模块编译漏洞预警：动态链接劫持、符号污染、调试信息泄露——3类高危模式速查速修