Linux如何实现系统用户行为审计？_Linuxauditd工具配置与日志分析

linux系统用户行为审计可通过auditd实现，其通过内核审计子系统记录用户操作日志。1. 安装auditd：使用apt-get或yum安装；2. 启动并启用服务：systemctl start与enable auditd；3. 配置规则文件/etc/audit/audit.rules，如监控文件访问、命令执行等；4. 查看日志：ausearch搜索日志，auditctl查看规则；5. 优化日志：配置logrotate轮转、精简规则、使用dispatcher.conf；6. 分析安全事件：确定时间范围、搜索日志、分析内容、关联事件；7. 降低性能损耗：调整auditd.conf参数、监控资源；8. 其他工具：syslog、osquery、tripwire、aide、siem系统等可选。

linux系统用户行为审计，简单来说，就是记录用户在系统上都干了些什么。实现这个目标，最常用的工具就是auditd。它就像一个忠实的记录员，默默地记录着用户的操作，帮助我们追踪安全事件、排查问题，甚至满足合规性要求。

auditd通过内核审计子系统工作，可以将用户的行为记录到日志文件中。然后，我们可以分析这些日志，了解用户做了什么，什么时候做的。

auditd工具配置与日志分析

1. 安装auditd:

   sudo apt-get update  # Debian/Ubuntu sudo apt-get install auditd  sudo yum update      # centos/RHEL/Fedora sudo yum install auditd

2. 启动auditd服务:

   

   sudo systemctl start auditd sudo systemctl enable auditd # 设置开机自启

3. 配置审计规则 (audit.rules):

   audit.rules

   文件位于

   /etc/audit/

   目录下，是auditd的核心配置文件。我们需要定义规则来告诉auditd要审计哪些事件。

   • 示例1: 审计所有用户对

     /etc/passwd

     文件的访问:

     -w /etc/passwd -p wa -k passwd_changes

     • -w /etc/passwd

       : 指定要审计的文件或目录。

     • -p wa

       : 指定要审计的权限 (w: write, a: Attribute)。

     • -k passwd_changes

       : 为这条规则定义一个关键字，方便以后搜索。

   • 示例2: 审计所有用户的

     sudo

     命令执行:

     -a always,exit -F path=/usr/bin/sudo -k sudo_usage

     • -a always,exit

       : 表示在每次系统调用退出时都进行审计。

     • -F path=/usr/bin/sudo

       : 指定要审计的可执行文件路径。

   重要提示: 修改

   audit.rules

   后，需要重启auditd服务才能生效：

   sudo systemctl restart auditd

4. 查看审计日志:

   审计日志默认存储在

   /var/log/audit/audit.log

   文件中。

   • 使用

     ausearch

     命令搜索日志:

     sudo ausearch -k passwd_changes  # 搜索包含关键字 "passwd_changes" 的日志 sudo ausearch -u <username>      # 搜索指定用户的操作日志 sudo ausearch -f /etc/passwd     # 搜索对指定文件的操作日志 sudo ausearch -ts today          # 搜索今天的日志

   • 使用

     auditctl

     命令查看当前审计规则:

     sudo auditctl -l

5. 日志分析:

   审计日志的内容比较复杂，需要一定的经验才能理解。通常，日志会包含以下信息：

   • type=SYSCALL

     : 表示这是一个系统调用事件。

   • auid

     : 审计用户ID (通常是登录用户的ID)。

   • uid

     : 实际用户ID (执行命令的用户ID)。

   • pid

     : 进程ID。

   • ppid

     : 父进程ID。

   • comm

     : 命令名称。

   • exe

     : 可执行文件路径。

   • key

     : 规则关键字。

如何设置auditd规则才能更精准地监控特定用户行为？

精准监控的关键在于细化规则。不要害怕规则过多，细致的规则能提供更准确的审计信息。

1. 指定用户: 使用

   -F auid=<uid>

   或

   -F uid=<uid>

   来限定审计的用户。

   auid

   通常是登录用户的ID，

   uid

   是实际执行操作的用户ID。例如，要审计用户

   john

   的所有操作：

   -a always,exit -F auid=1000 -k john_actions

   假设

   john

   的UID是1000。

2. 指定文件或目录: 使用

   -w <path>

   来监控特定的文件或目录。结合

   -p

   参数指定要监控的权限。例如，监控

   /var/www/html

   目录下的所有写操作：

   -w /var/www/html -p w -k web_changes

3. 指定命令: 使用

   -F path=<command_path>

   来监控特定的命令。例如，监控所有

   ssh

   命令的执行：

   -a always,exit -F path=/usr/bin/ssh -k ssh_usage

4. 组合条件: 可以组合多个条件来创建更复杂的规则。例如，监控用户

   john

   对

   /etc/shadow

   文件的所有访问：

   -w /etc/shadow -p rwa -F auid=1000 -k john_shadow_Access

5. 利用

   exclude

   规则: 有时候，我们需要排除一些不重要的事件。可以使用

   -A never,exit

   来排除特定的事件。例如，排除用户

   john

   对

   /tmp

   目录的写操作：

   -w /tmp -p w -F auid=1000 -A never,exit -k john_tmp_writes

如何优化auditd日志，避免日志文件过大？

auditd会产生大量的日志，如果不加以控制，日志文件很快就会变得巨大，占用大量的磁盘空间。

1. 配置日志轮转 (logrotate): auditd自带了日志轮转功能，可以通过

   /etc/logrotate.d/auditd

   文件进行配置。可以设置日志文件的最大大小、保留天数等。

   • 示例配置:

     /var/log/audit/audit.log {     rotate 7        # 保留7个轮转的日志文件     daily           # 每天轮转     missingok       # 如果日志文件不存在，不报错     notifempty      # 如果日志文件为空，不轮转     delaycompress   # 延迟压缩     compress        # 压缩轮转的日志文件     postrotate         /sbin/service auditd reload > /dev/null 2>/dev/null || true     endscript }

2. 减少不必要的审计规则: 仔细审查现有的审计规则，删除或修改不必要的规则。只保留真正需要监控的事件。

3. 使用

   auditctl

   命令临时禁用规则: 可以使用

   auditctl -d <rule>

   命令临时禁用某个规则，例如：

   sudo auditctl -d 4 # 禁用规则ID为4的规则 (使用 `auditctl -l` 查看规则ID)

   注意: 这种方式禁用的规则会在auditd服务重启后失效。

4. 配置

   dispatcher.conf

   文件:

   dispatcher.conf

   文件位于

   /etc/audit/

   目录下，可以配置auditd的事件分发方式。可以将日志发送到远程服务器，或者使用脚本进行实时分析。

5. 使用

   priority

   参数: 在

   audit.rules

   文件中，可以使用

   priority

   参数设置规则的优先级。高优先级的规则会先被处理，可以用来过滤掉一些不重要的事件。

如何利用auditd日志进行安全事件分析？

安全事件分析需要一定的经验和技巧。以下是一些常用的分析方法：

1. 确定事件的时间范围: 首先，需要确定事件发生的时间范围。可以根据告警信息、用户报告等线索来确定时间范围。

2. 使用

   ausearch

   命令搜索日志: 使用

   ausearch

   命令搜索指定时间范围内的日志。可以使用

   -ts

   和

   -te

   参数指定起始时间和结束时间。

   sudo ausearch -ts 2023-10-27 10:00:00 -te 2023-10-27 11:00:00 -k suspicious_activity

3. 分析日志内容: 仔细分析日志内容，查找与事件相关的线索。注意关注以下信息：

   • auid

     和

     uid

     : 确定是谁执行了操作。

   • comm

     和

     exe

     : 确定执行了什么命令。

   • path

     : 确定操作了哪些文件或目录。

   • success

     : 确定操作是否成功。

   • exit

     : 系统调用的返回值。

4. 关联多个事件: 有时候，一个安全事件可能涉及多个日志事件。需要将这些事件关联起来，才能还原事件的完整过程。

5. 使用脚本进行自动化分析: 可以使用脚本对审计日志进行自动化分析，例如，检测是否存在异常登录、文件篡改等行为。

auditd对系统性能的影响有多大？如何降低性能损耗？

auditd会对系统性能产生一定的影响，尤其是在审计规则较多、日志量较大的情况下。

1. 精简审计规则: 只保留必要的审计规则，删除不必要的规则。

2. 使用

   exclude

   规则: 排除一些不重要的事件，减少日志量。

3. 调整日志存储方式: 可以将日志存储到单独的磁盘上，避免影响系统盘的性能。

4. 使用

   dispatcher.conf

   进行实时分析: 可以将日志发送到远程服务器进行实时分析，减轻本地服务器的压力。

5. 调整

   auditd.conf

   配置:

   auditd.conf

   文件位于

   /etc/audit/

   目录下，可以配置auditd的运行参数。

   • freq

     : 指定auditd将日志写入磁盘的频率。可以适当增加

     freq

     的值，减少磁盘I/O。

   • max_log_file

     : 指定单个日志文件的最大大小。

   • max_log_file_action

     : 指定当日志文件达到最大大小时的处理方式。

6. 监控系统资源: 使用

   top

   、

   vmstat

   等命令监控系统资源，观察auditd对CPU、内存、磁盘I/O的影响。

除了auditd，还有哪些Linux系统审计工具？

除了auditd，还有一些其他的Linux系统审计工具：

1. syslog: syslog是Linux系统默认的日志记录工具。它可以记录系统事件、应用程序日志等。虽然syslog的功能不如auditd强大，但它可以提供一些基本的审计信息。

2. osquery: osquery是一个开源的操作系统检测框架。它允许你使用sql语句查询操作系统的状态。可以使用osquery来收集系统信息、监控文件变化、检测恶意进程等。

3. Tripwire: Tripwire是一个文件完整性监控工具。它可以监控指定文件的变化，并在文件被篡改时发出告警。

4. AIDE (Advanced Intrusion Detection Environment): AIDE也是一个文件完整性监控工具，功能类似于Tripwire。

5. 商业安全信息和事件管理 (SIEM) 系统: SIEM系统可以收集、分析来自多个来源的日志数据，包括auditd日志、syslog日志、网络流量数据等。SIEM系统可以帮助你检测安全事件、进行威胁分析、满足合规性要求。例如Splunk, QRadar等。

选择哪种工具取决于你的具体需求和预算。auditd是一个功能强大、免费的工具，适合大多数Linux系统管理员使用。如果需要更高级的功能，可以考虑使用osquery或SIEM系统。