Ubuntu中SELinux如何进行安全审计

在Ubuntu中进行SELinux安全审计，需先安装配置相关工具，再通过规则设置、日志查看与分析实现，具体步骤如下：

1. 安装工具
   安装auditd及插件：

   sudo apt update && sudo apt install auditd audispd-plugins linux-audit  
   

2. 配置auditd服务

   • 启动并启用服务：

     sudo systemctl start auditd  
     sudo systemctl enable auditd  
     

   • 编辑/etc/audit/auditd.conf，设置日志路径、大小等参数（如audit_log_file、audit_rotate_size）。

3. 设置审计规则

   • 监控SELinux关键文件（如策略文件、配置文件）：

     sudo auditctl -w /etc/selinux/ -p wa -k selinux_config  
     sudo auditctl -w /var/lib/selinux/ -p wa -k selinux_active  
     

   • 保存规则至/etc/audit/rules.d/audit.rules并加载：

     sudo auditctl -R /etc/audit/rules.d/audit.rules  
     

4. 查看与分析日志

   • 实时查看SELinux相关日志：

     sudo ausearch -m selinux -ts recent  
     

   • 生成审计报告：

     sudo aureport -m selinux  
     

   • 分析拒绝事件：

     sudo ausearch -m avc -ts recent | audit2why  
     

说明：Ubuntu默认使用AppArmor，如需使用SELinux需手动安装配置，且部分工具（如setroubleshoot）可能需额外安装。