Linux 审计日志开启与入侵追踪技巧

一、Linux审计日志核心组件auditd

auditd是Linux内核的审计框架用户空间组件，负责收集和记录系统安全事件：

 检查auditd服务状态
systemctl status auditd

 安装auditd（如未安装）
sudo apt install auditd   Debian/Ubuntu
sudo yum install audit    RHEL/CentOS

二、审计日志配置实战

1. 基础配置文件

/etc/audit/auditd.conf 核心参数：

 日志文件位置
log_file = /var/log/audit/audit.log

 日志轮转策略
max_log_file = 50    保留50个日志文件
max_log_file_action = keep_logs

 磁盘空间检查
space_left = 100     剩余100MB时触发警告
space_left_action = email

2. 关键审计规则设置

 监控用户登录事件
-a always,exit -F arch=b64 -S execve -F path=/bin/login -k user_login

 监控敏感文件访问
-w /etc/passwd -p wa -k identity_file
-w /etc/shadow -p wa -k identity_file

 监控特权命令执行
-w /bin/su -p x -k privileged_cmd
-w /usr/bin/sudo -p x -k privileged_cmd

三、入侵事件追踪技巧

1. 日志分析工具

 按关键词搜索审计事件
ausearch -k privileged_cmd

 生成可读性报告
aureport -u --summary   用户登录统计
aureport -x --summary   可执行文件执行统计

2. 异常行为识别

• 多次失败的sudo尝试
• 非常规时间的root登录
• /tmp目录下的可疑可执行文件
• 系统二进制文件的异常修改

3. 时间线重建

 按时间范围查询
ausearch -ts today 00:00:00 -te now

 导出为时间线格式
ausearch -k suspicious_activity --format csv > timeline.csv

四、高级监控策略

 监控SSH隧道建立
-a always,exit -F arch=b64 -S connect -F a2=16 -k ssh_tunnel

 监控容器逃逸行为
-w /proc/[0-9]/ns/ -p rw -k container_escape

五、日志长期存储方案

1. 配置远程syslog服务器转发
2. 使用ELK Stack建立日志分析平台
3. 设置日志完整性校验(Hash)

通过合理配置审计规则和掌握分析技巧，可将Linux审计日志转化为强大的安全监控工具，有效提升系统安全防护能力。