如何在Linux上配置網絡安全審計

sudo apt-get install auditd

sudo yum install audit

# /etc/auditd.conf # 注意這里的路徑可能因不同系統而有所不同  # 本地日志文件存儲的路徑 log_file = /var/log/audit/audit.log  # 最大日志文件大小 max_log_file = 50  # 最大日志存儲時間 max_log_file_action = keep_logs  # 日志保留的天數 num_days = 30  # 空閑時間（秒） idletime = 600  # 發現故障后自動停止 space_left_action = email  # 發現故障后實時通知的郵箱地址 admin_space_left_action = root@localhost  # 設定審計系統時額外添加的項目 # 以下是一個示例配置，根據需要可自行調整 # -a always,exit -F arch=b64 -S open,creat,truncate,ftruncate,openat,open_by_handle_at,openat2 -F exit=-EACCES -F auid>=1000 -F auid!=-1 -k access 

sudo systemctl restart auditd

sudo apt-get install audispd-plugins

sudo yum install audispd-plugins

active = yes direction = out path = /sbin/audispd-in_syslog type = builtin args = LOG_INFO format = string

# 查詢所有事件 sudo ausearch -m all  # 查詢指定時間段的日志 sudo ausearch --start "10 minutes ago" --end "now"  # 根據用戶查詢日志 sudo ausearch -ua username  # 根據文件路徑查詢日志 sudo ausearch -f /path/to/file  # 根據系統調用查詢日志 sudo ausearch -sc open

# 生成所有的事件報告 sudo aureport  # 生成文件相關的事件報告 sudo aureport -f  # 生成用戶相關的事件報告 sudo aureport -i  # 生成系統調用的事件報告 sudo aureport -c

sudo auditctl -a always,exit -F arch=b64 -S execve -k command sudo auditctl -a always,exit -F arch=b64 -S execveat -k command sudo auditctl -a always,exit -F arch=b32 -S execve -k command sudo auditctl -a always,exit -F arch=b32 -S execveat -k command sudo auditctl -a always,exit -F arch=b64 -S sendto -F auid>=500 -F auid!=4294967295 -k connect