centos dopra如何进行安全审计
小樊
44
2025-12-03 23:44:20
CentOS 上 DOPRA 安全审计实施指南
一 审计目标与范围
- 覆盖对象:所有与 DOPRA 相关的系统用户与应用账户,重点包括 登录/登出、提权与 sudo 使用、配置文件与密钥变更、DOPRA 可执行文件与日志目录的访问与修改。
- 审计内容要素:事件的日期、时间、发起者(uid/auid)、类型、客体、结果与返回码等,确保可追踪与可问责。
- 合规基线:审计进程与日志应具备防中断、防删除/修改/覆盖的能力,审计数据建议至少保留 6 个月并定期分析、生成报表。
二 启用与保护系统审计服务
- 启动与自启:确保 auditd 与 rsyslog 处于运行状态并开机自启,以分别承担细粒度审计与系统/安全日志的采集与转发。
- 命令:
systemctl start auditd rsyslog && systemctl enable auditd rsyslog
- 日志文件保护:对关键日志设置最小权限(如 640),仅允许授权用户读取,防止未授权篡改。
- 示例:
chmod 640 /var/log/{messages,secure,audit/audit.log}
- 审计记录保护:通过内核与审计框架保护 auditd 与审计日志,确保审计进程不可被单独中断,审计记录不可被删除/修改/覆盖;审计数据按策略定期备份与长期保留(≥6 个月)。
三 面向 DOPRA 的审计规则配置
- 规则设计原则:对 DOPRA 的可执行文件、配置、证书/密钥、日志目录实施“读/写/属性/执行”等关键操作监控,并为规则设置易识别的 key,便于检索与报表统计。
- 建议规则示例(放入 /etc/audit/rules.d/dopra.rules 后执行
augenrules --load 生效):
- 监控 DOPRA 可执行文件与关键配置/密钥
-w /opt/dopra/bin -p wa -k dopra_bin-w /opt/dopra/conf -p wa -k dopra_conf-w /opt/dopra/conf/*.key -p wa -k dopra_key-w /opt/dopra/conf/*.pem -p wa -k dopra_cert
- 监控 DOPRA 日志目录
-w /var/log/dopra -p wa -k dopra_log
- 监控身份与授权变更(PAM/SSH/SUDO)
-w /etc/pam.d -p wa -k auth_conf-w /etc/ssh/sshd_config -p wa -k sshd_conf-a always,exit -F arch=b64 -S execve -k command_exec
说明:上述规则覆盖 DOPRA 的可执行文件、配置、密钥与日志目录的访问/变更,并对系统级身份与授权变更进行命令级审计,便于还原操作链。规则生效后可用 ausearch -k <key> 或 ausearch -f <文件路径> 检索相关事件。
四 日志集中与审计查询
- 集中与留存:通过 rsyslog 将本机审计与系统日志集中到日志服务器或按日期/主机/程序进行结构化存储,便于审计检索与长期留存。
- 示例思路:在 rsyslog 配置中使用模板与目录结构(如
/var/log/LogStorage/%YEAR%-%MONTH%-%DAY%/%HOSTNAME%/%PROGRAMNAME%.log)并按天切割归档。
- 审计查询与告警:
- 按 key 检索:
ausearch -k dopra_conf、ausearch -k dopra_key
- 按文件检索:
ausearch -f /opt/dopra/conf/app.conf
- 查看失败登录与权限变更:
ausearch -m avc -ts recent、grep "Failed password" /var/log/secure
- 审计报表:定期使用
ausearch 配合 awk/sort/uniq 或对接 ELK/Splunk 生成登录异常、配置变更、密钥访问等报表。
五 审计加固与合规要点
- 审计进程与日志保护:确保 auditd 与审计日志防中断、防篡改/覆盖;对日志目录与文件设置严格权限(如 640)并纳入备份与异地留存策略,满足≥6 个月的留存要求。
- 账户与访问最小化:清理多余/过期账户,避免共享账户;对管理操作实施最小权限与权限分离,并限制 root 远程登录(如
PermitRootLogin no)。
- 持续监控与漏洞治理:结合 auditd 与 rsyslog 的审计数据开展常态分析与异常告警;同时定期更新补丁、最小化安装、关闭不必要服务与高危端口,降低攻击面。