CentOS Stream 8 安全审计实操指南
一 基础审计框架与日志采集
- 启用并验证内核审计服务 auditd:安装包为audit(命令:yum -y install audit),启动并设置开机自启(systemctl enable --now auditd)。审计日志默认写入**/var/log/audit/audit.log**,规则目录为**/etc/audit/rules.d/,修改规则后使用augenrules --load加载,查询用ausearch**,服务参数在**/etc/audit/auditd.conf**。
- 统一查看 systemd 日志:使用journalctl进行实时与历史排查,例如 journalctl -f(实时)、journalctl -b(本次启动)、journalctl --since today、journalctl -p err(按优先级)。
- 关键日志文件位置:/var/log/messages(系统消息)、/var/log/secure(认证与 sudo)、/var/log/audit/audit.log(审计事件)。
- 持久化与远程集中:编辑**/etc/systemd/journald.conf将 Storage=persistent 并重启 systemd-journald;使用rsyslog**将日志转发到远程日志服务器,便于集中审计与留存。
二 审计规则与常用用例
- 文件与关键配置变更监控:对**/etc/passwd**、/etc/shadow、/etc/sudoers等设置写/属性变更审计,示例规则:-w /etc/passwd -p wa -k passwd_changes(监控写入与属性更改,标记为 passwd_changes)。
- 系统调用级访问审计:对敏感目录(如**/var/www**、/home)的打开行为审计,示例规则(64 位):-a always,exit -F arch=b64 -S open,openat -F dir=/var/www -F success=1 -k web_access;按需扩展为 creat/truncate/open_by_handle_at 等。
- 用户身份与提权审计:记录身份切换与提权行为,示例:-w /usr/bin/sudo -p x -k sudo_exec;-a always,exit -S setuid -S setgid -k priv_esc。
- 规则生效与查询:规则写入**/etc/audit/rules.d/audit.rules或/etc/audit/rules.d/*.rules后执行augenrules --load**;检索用ausearch -f /path或按时间/用户过滤,例如 ausearch --start today -k passwd_changes。
三 日志分析与可视化
- 本地快速分析:结合journalctl与命令行工具(grep、awk、sort、uniq)做关键字与统计,例如统计失败登录:journalctl -u sshd --since today | grep ‘Failed’ | awk ‘{print $9}’ | sort | uniq -c;Web 访问日志可用 awk 统计 Top IP。
- 集中化与可视化:部署ELK Stack(Elasticsearch、Logstash、Kibana)或Splunk收集与分析日志;网络侧可引入Suricata做入侵检测,日志送入 ELK/Kibana 的SIEM仪表板进行告警与取证。
四 合规巡检与加固建议
- 使用Lynis进行系统级合规审计:安装(yum -y install lynis),执行lynis audit system,报告与日志位于**/var/log/lynis.log与/var/log/lynis-report.dat**;可按组审计(lynis show groups,lynis --tests-from-group ‘kernel firewalls’),查看某条建议详情(lynis show details TEST-ID)。
- 审计与日志的稳健性配置:在**/etc/audit/auditd.conf中设置合理的max_log_file**、max_log_file_action=keep_logs、磁盘空间告警(space_left_action、admin_space_left_action),避免审计日志被覆盖或磁盘被写满导致审计中断。
五 最小可用审计规则示例
# /etc/audit/rules.d/audit.rules
# 关键文件变更
-w /etc/passwd -p wa -k passwd_changes
-w /etc/shadow -p wa -k shadow_changes
-w /etc/sudoers -p wa -k sudoers_changes
# 敏感目录访问(示例:/var/www)
-a always,exit -F arch=b64 -S open,openat -F dir=/var/www -F success=1 -k web_access
# 提权与身份切换
-a always,exit -S setuid -S setgid -k priv_esc
-w /usr/bin/sudo -p x -k sudo_exec
# 加载规则
augenrules --load
提示:规则生效后用 ausearch -k 验证是否产生事件;如需长期留存,请同时配置 journald 持久化与 rsyslog 远程转发。