Ubuntu Syslog与安全审计

Ubuntu Syslog与安全审计的关系及实现方法
Syslog是Ubuntu系统中集中收集、存储系统日志的核心服务（通常由rsyslog实现），而安全审计是通过分析日志识别潜在威胁、满足合规要求的关键手段。两者结合能实现对系统活动的可追溯、可监控，是提升Ubuntu系统安全性的重要环节。

一、Ubuntu Syslog的核心作用

Syslog的主要功能是将系统中的各类事件（如启动/关闭、错误、警告、用户操作）分类记录，为安全审计提供基础数据。其关键价值包括：

• 事件记录：捕获系统运行的全生命周期事件（如内核消息、服务状态变化）；
• 故障排查：通过时间戳、日志级别（如error、critical）快速定位系统问题；
• 审计跟踪：记录用户认证（如auth.log中的登录尝试）、配置变更等敏感操作，满足《网络安全法》等合规要求；
• 安全监控：通过分析日志中的异常模式（如频繁登录失败），早期预警潜在攻击。

二、Ubuntu Syslog的基本配置步骤

要实现有效的日志审计，需先优化Syslog自身的配置：

1. 安装与启动服务：
   Ubuntu默认使用rsyslog，通过以下命令确保其安装并运行：

   sudo apt update && sudo apt install rsyslog
   sudo systemctl start rsyslog
   sudo systemctl enable rsyslog
   

2. 配置日志分类存储：
   编辑/etc/rsyslog.conf或/etc/rsyslog.d/*.conf（如创建/etc/rsyslog.d/audit.conf），通过facility（日志来源）和level（日志级别）定义存储路径。例如：

   # 将认证相关日志（authpriv）记录到/var/log/auth.log
   authpriv.* /var/log/auth.log
   # 将所有日志（*.*）记录到/var/log/syslog
   *.* /var/log/syslog
   # 将自定义审计日志（local0）记录到/var/log/audit.log
   local0.* /var/log/audit.log
   

3. 重启服务生效：
   修改配置后，执行sudo systemctl restart rsyslog使更改生效。

三、安全审计的核心工具：auditd

Syslog虽能记录日志，但无法满足细粒度的安全审计需求（如进程执行、文件访问）。需配合auditd（Linux审计框架）实现：

1. 安装auditd：

   sudo apt install auditd audispd-plugins
   

2. 配置审计规则：
   编辑/etc/audit/rules.d/audit.rules，添加以下常见规则：

   # 监控所有进程执行（execve系统调用）
   -a exit,always -F arch=b32 -S execve -S execveat -k executed-process
   -a exit,always -F arch=b64 -S execve -S execveat -k executed-process
   # 监控特权命令（sudo）
   -a exit,always -F path=/usr/bin/sudo -F perm=x -k sudo_usage
   # 监控敏感文件访问（如/etc/passwd、/root）
   -w /etc/passwd -p rwxa -k passwd_access
   -w /root -p rwxa -k root_access
   

3. 启动auditd服务：

   sudo systemctl start auditd
   sudo systemctl enable auditd
   

4. 查看审计日志：
   使用ausearch命令查询日志（如查看executed-process相关事件）：

   sudo ausearch -k executed-process
   # 生成可读报告
   sudo aureport -k
   ```。
   
   
   

四、安全审计的关键实践

1. 保护日志完整性：
   • 限制日志目录权限（如/var/log/audit设为700，属主为root:adm）；
   • 使用logrotate工具定期轮转日志（避免日志过大），编辑/etc/logrotate.d/audit：

     /var/log/audit/*.log {
         daily
         rotate 30
         compress
         missingok
         notifempty
         sharedscripts
         postrotate
             /usr/lib/rsyslog/rsyslog-rotate
         endscript
     }
     ```。  
     

2. 实时监控与告警：
   在rsyslog配置中添加告警规则（如检测到5次/5分钟的登录失败时，发送邮件或封锁IP）：

   # /etc/rsyslog.d/intrusion_rules.conf
   if ($msg contains 'Failed password') then {
       action(type="mmsequence" mode="reset" key="%fromhost-ip%" window="300" threshold="5")
       if ($mmsequence.counter >= 5) then {
           action(type="omfile" file="/var/log/audit/bruteforce_alert.log")
           action(type="ommail" server="smtp.example.com" mailfrom="alerts@example.com" mailto="admin@example.com" subject="Brute Force Alert" body="Detected 5 failed login attempts from %fromhost-ip%")
       }
   }
   

3. 合规性检查：
   使用Lynis（安全审计工具）检查系统是否符合安全基线：

   wget https://downloads.cisofy.com/lynis/lynis-3.0.0.tar.gz
   tar xvf lynis-3.0.0.tar.gz
   cd lynis
   ./lynis audit system
   

   或使用OpenSCAP（基于CVE的安全评估）扫描系统漏洞：

   sudo apt install libopenscap8
   wget https://people.canonical.com/ubuntu-security/oval/com.ubuntu.xenial.cve.oval.xml
   oscap oval eval --results /tmp/oscap_results.xml --report /tmp/oscap_report.html com.ubuntu.xenial.cve.oval.xml
   ```。
   
   
   

通过以上配置，Ubuntu系统可实现从日志收集到安全审计的完整流程，既能满足日常运维的需求，又能应对合规性挑战。