在Ubuntu上,SELinux(Security-Enhanced Linux)并不是默认启用的安全模块,因为Ubuntu默认使用的是AppArmor作为其安全模块。不过,如果你在Ubuntu上启用了SELinux并希望进行审计,可以按照以下步骤进行操作:
首先,你需要安装一些工具和软件包来启用安全审计功能。可以使用以下命令安装:
sudo apt update
sudo apt install auditd audispd-plugins linux-audit
Auditd是Linux内核的审计服务,可以用来记录系统事件。
sudo systemctl start auditd
sudo systemctl enable auditd
编辑 /etc/audit/auditd.conf 文件,根据需要添加或修改规则。例如:
# audit_log_file 指定审计日志文件的路径
# audit_log_format 指定审计日志的格式
# audit_rotate_size 指定审计日志文件的最大大小
# audit_rotate_count 指定审计日志文件保留的数量
例如:
audit_log_file /var/log/audit/audit.log
audit_log_format rawaudit
audit_rotate_size 10485760
audit_rotate_count 7
保存并退出编辑器后,重启Auditd服务以应用更改:
sudo systemctl restart auditd
创建一个新的文件 /etc/audit/rules.d/audit.rules,并添加你的规则。例如:
# 监控 /var/log 目录的所有读写操作
-a exit,always -F arch=b32 -S execve -S execveat -k executed-process-a
-a exit,always -F arch=b64 -S execve -S execveat -k executed-process-a
保存并退出编辑器后,重新加载Auditd配置以应用新的规则:
sudo auditctl -R /etc/audit/rules.d/audit.rules
你可以使用以下命令来监控和查看审计日志:
sudo ausearch -m avc -ts recent
sudo ausearch -m avc -ts recent -i 5
使用 Aureport 命令生成关于审计日志的报告。例如,生成一个包含 SELinux 事件的报告:
Aureport -m selinux
通过以上步骤,你可以在Ubuntu上配置SELinux和审计工具,以执行日志审计,从而提高系统的安全性和可追溯性。