SELinux如何进行安全审计

SELinux安全审计可通过以下步骤实现：

1. 启用审计服务
   确保auditd服务已安装并启动：

   sudo systemctl start auditd  
   sudo systemctl enable auditd  
   

2. 配置审计规则

   • 编辑/etc/audit/auditd.conf，设置日志路径、格式等参数。
   • 添加SELinux相关监控规则，例如：

     sudo auditctl -w /etc/selinux/config -p wa -k selinux_config  
     sudo auditctl -w /var/lib/selinux/active -p wa -k selinux_active  
     

3. 查看与分析日志

   • 实时查看日志：sudo tail -f /var/log/audit/audit.log。
   • 搜索特定事件（如拒绝访问）：

     sudo ausearch -m avc -ts recent | grep "denied"  
     

   • 生成审计报告：sudo aureport -m selinux。

4. 工具辅助分析

   • 使用audit2allow解析日志并生成允许规则。
   • 借助可视化工具（如Kibana）分析大量日志数据。

5. 策略与权限验证

   • 检查SELinux策略是否生效：getsebool -a。
   • 确保关键文件/目录的访问控制符合安全要求。

关键日志路径：/var/log/audit/audit.log（默认审计日志）。

参考来源：