Linux服务器安全审计教程_操作留痕与审计日志_运维开发

Linux服务器安全审计的核心是构建覆盖身份、行为、结果的闭环留痕机制。需启用加固auditd、扩展shell命令日志至syslog、集中外发并保护日志、聚焦高风险信号开展日常审计与响应。

Linux服务器安全审计的核心是让所有关键操作“可追溯、可验证、可回溯”。操作留痕不是简单开启日志，而是构建一套覆盖身份、行为、结果的闭环记录机制——谁在什么时间、以什么身份、执行了什么命令、是否成功、影响了哪些文件或配置。

auditd 是 Linux 内核级审计框架，比 shell 历史记录更底层、更防篡改。默认可能未启用或配置简陋。

安装并启动服务：sudo apt install auditd audispd-plugins（Debian/Ubuntu）或 sudo yum install audit（RHEL/CentOS），然后 sudo systemctl enable --now auditd
关键配置在 /etc/audit/rules.d/audit.rules，避免直接改 /etc/audit/audit.rules（重启后可能被覆盖）
添加规则示例：监控敏感目录变更：-w /etc/passwd -p wa -k identity；记录所有特权命令执行：-a always,exit -F uid!=1000 -F euid=0 -S execve -k privileged_cmd
重载规则：sudo augenrules --load，查看实时日志：sudo ausearch -m EXECVE -i | head -20

shell 历史仅保存在用户家目录，易被删除或绕过。需结合系统日志统一落盘，并扩展记录上下文。

在 /etc/bash.bashrc 或全局 profile 中设置：
export HISTTIMEFORMAT="%Y/%m/%d %T "
export PROMPT_COMMAND='RETRN_VAL=$?;logger -p local6.info "$(whoami) [$$] $(history 1 | sed "s/^[ ]*[0-9]\+[ ]*//") [$RETRN_VAL]"'
将日志定向到 rsyslog：在 /etc/rsyslog.d/50-shell-commands.conf 添加：
local6.* /var/log/shell-commands.log
然后 sudo systemctl restart rsyslog
注意：该方式依赖用户使用 bash/zsh 且未禁用 PROMPT_COMMAND，不能替代 auditd，但对运维排查非常直观

本地日志可被提权者清除。必须外发至独立日志服务器，并限制本地写权限。

配置 rsyslog 转发（TCP 更可靠）：
在 /etc/rsyslog.d/20-remote.conf 加：
*.* @@syslog.example.com:514（@@ 表示 TCP）
锁定关键日志文件：sudo chattr +a /var/log/audit/audit.log（仅追加）
禁止非 root 清空：sudo chmod 600 /var/log/audit/audit.log
启用日志轮转并压缩旧日志：/etc/logrotate.d/auditd 应包含 create 600 root root 和 sharedscripts

日志堆得多不如查得准。聚焦高风险信号，建立最小可行响应流程。

高频检查项：
  – 异常 sudo 使用（sudo ausearch -m USER_CMD -i | grep -E "(root|wheel)"）
  – 非法 SSH 登录尝试（grep "Failed password" /var/log/auth.log | tail -20）
  – 关键文件被修改（ausearch -m PATH -f /etc/shadow -i）
设置每日摘要邮件：用 logwatch 或自定义脚本提取 top 10 异常事件，发送给管理员邮箱
发现可疑行为后，立即：
  – 检查对应用户的登录会话（who -u、last -n 20）
  – 临时禁用账户（sudo usermod -L username）
  – 保留内存和磁盘快照（如需取证）

不复杂但容易忽略：审计不是一次配置就完事，要定期验证规则是否生效、日志是否持续写入、归档是否完整。每次权限变更、新服务上线、运维流程调整，都应同步更新审计策略。