在CentOS中进行SELinux安全审计可通过以下方式操作:
查看审计日志
/var/log/audit/audit.log,可使用cat、grep等命令查看,如grep -i "denied" /var/log/audit/audit.log筛选拒绝记录。sudo tail -f /var/log/audit/audit.log。使用专用工具分析
ausearch:搜索特定事件,如sudo ausearch -m avc -ts recent -te now查看近期SELinux拒绝事件。Aureport:生成审计报告,如sudo aureport -m selinux生成SELinux事件报告。audit2why/audit2allow:分析日志并生成策略建议,如sudo ausearch -m avc | audit2why。配置审计规则
/etc/audit/auditd.conf,添加对SELinux关键文件的监控,例如:-w /etc/selinux/config -p wa -k selinux_config。auditd服务使配置生效:sudo systemctl restart auditd。验证审计功能
sudo systemctl status auditd。sudo auditctl -l。通过以上方法可有效监控SELinux的安全事件,及时发现异常访问行为并优化策略。