Ubuntu日志安全审计步骤是什么
导读:Ubuntu日志安全审计步骤 一 基线检查与日志源确认 确认系统日志服务运行状态:检查并启动 rsyslog,查看状态命令为:sudo systemctl status rsyslog;确保服务为 active。 确认内核审计服务运行状态...
Ubuntu日志安全审计步骤
一 基线检查与日志源确认
- 确认系统日志服务运行状态:检查并启动 rsyslog,查看状态命令为:sudo systemctl status rsyslog;确保服务为 active。
- 确认内核审计服务运行状态:检查并启动 auditd,查看状态命令为:sudo systemctl status auditd;确保服务为 active。
- 查看审计规则是否已配置:执行 sudo auditctl -l,若返回规则列表说明已配置;如未配置需按下一节添加。
- 熟悉关键日志文件路径:系统认证与安全事件在 /var/log/auth.log;综合系统日志在 /var/log/syslog;内核日志在 /var/log/kern.log;审计事件在 /var/log/audit/audit.log;Web 服务(如 Apache)在 /var/log/apache2/;数据库(如 MySQL)在 /var/log/mysql/。
- 如启用 SELinux(Ubuntu 默认使用 AppArmor),SELinux 拒绝事件同样写入 /var/log/audit/audit.log。
二 启用并配置内核审计 auditd
- 安装审计组件:执行 sudo apt update & & sudo apt install auditd audispd-plugins linux-audit。
- 启动并持久化服务:执行 sudo systemctl start auditd & & sudo systemctl enable auditd。
- 配置日志轮转与保留(/etc/audit/auditd.conf):设置如 audit_log_file /var/log/audit/audit.log、audit_log_format raw、audit_rotate_size 10485760(10MB)、audit_rotate_count 7(保留7个)。
- 配置持久化规则(/etc/audit/rules.d/audit.rules):示例(监控进程执行与关键文件)
- 监控命令执行(覆盖 32/64 位架构):
-a exit,always -F arch=b32 -S execve -S execveat -k executed-process
-a exit,always -F arch=b64 -S execve -S execveat -k executed-process - 监控关键文件/目录:
-w /var/log -p wa -k log_monitor
-w /etc/passwd -p rwxa -k passwd_access
加载规则:sudo auditctl -R /etc/audit/rules.d/audit.rules;必要时重启 auditd:sudo systemctl restart auditd。
- 监控命令执行(覆盖 32/64 位架构):
- 说明:Ubuntu 默认安全模块为 AppArmor;如使用 SELinux 需额外安装与启用,但审计日志仍由 auditd 记录。
三 集中化与长期留存
- 配置 rsyslog 转发到远程日志服务器:在 /etc/rsyslog.conf 或相应配置段添加如 “. @remote_log_server_ip:514”,将日志集中到 SIEM/日志服务器 便于统一检索与告警。
- 设置日志轮转与归档:使用 logrotate 管理 /var/log/ 下日志的按日/按大小切割与保留,防止磁盘被占满。
- 定期生成审计报告:使用 aureport 汇总审计数据,如 aureport --file(文件访问)、aureport --process(进程创建)、aureport -m selinux(SELinux 事件)。
- 定期巡检与告警:结合 logwatch 生成日报/周报,或将日志接入 Splunk/ELK 等 SIEM 平台设置实时告警。
四 审计分析与常见威胁识别
- 认证与登录审计:在 /var/log/auth.log 检索失败与成功登录,如 grep “Failed password” /var/log/auth.log、grep “Accepted password” /var/log/auth.log,关注异常来源 IP、时间密集登录与 sudo 提权行为。
- 内核与系统事件:在 /var/log/kern.log 与 /var/log/syslog 检索 error/warning/security 等关键词,定位潜在入侵迹象。
- 审计日志深度检索:使用 ausearch 按关键字或时间窗查询,如 sudo ausearch -k log_monitor(按自定义键)、sudo ausearch -m avc -ts recent -i(查看最近的 SELinux AVC 拒绝并解析为可读格式)。
- Web 与数据库:在 /var/log/apache2/error.log 与 /var/log/mysql/error.log 检索 404 异常、扫描特征与 access denied 等未授权访问尝试。
五 自动化与合规建议
- 建立基线:导出当前规则与状态(如 auditctl -l、服务状态、关键日志样本),作为后续变更与合规对比基准。
- 例行巡检:每日/每周自动生成 aureport 与 logwatch 报告,重点核对新增 AVC 拒绝、失败登录激增、异常文件变更与可疑进程执行。
- 变更管理:任何规则或日志配置调整需先在测试环境验证,变更后复核 auditd 与 rsyslog 运行状态与日志落盘情况。
- 合规留痕:确保审计日志具备完整性(防篡改)、可用性(集中存储与备份)、可追溯性(按用户/进程/时间关联分析),满足等保与行业审计要求。
声明:本文内容由网友自发贡献,本站不承担相应法律责任。对本内容有异议或投诉,请联系2913721942#qq.com核实处理,我们将尽快回复您,谢谢合作!
若转载请注明出处: Ubuntu日志安全审计步骤是什么
本文地址: https://pptw.com/jishu/747670.html