Linux开启服务器审计
在 Linux 服务器上启用 auditd(Linux Audit Framework 的守护进程)可以帮助记录系统活动,例如文件访问、用户登录等,为安全审计提供支持。以下是详细的步骤:
-
安装
auditd在大多数 Linux 发行版中,
auditd通常是默认安装的。如果未安装,可以通过包管理器安装。对于 RHEL/CentOS/Fedora:
sudo yum install audit audit-libs -y
对于 Ubuntu/Debian:
sudo apt update sudo apt install auditd audispd-plugins -y
2. 启用并启动
auditd启用服务(开机自动启动):
sudo systemctl enable auditd
启动服务:
sudo systemctl start auditd
检查服务状态:
sudo systemctl status auditd
如果服务运行正常,状态应为
active (running)。
如果出现ConditionKernelCommandLine=!audit=0 was not met
-
确认当前内核启动参数
检查当前内核启动参数是否包含
audit=0:cat /proc/cmdline
如果输出中包含
audit=0,说明审计功能被禁用。
2. 修改内核启动参数
需要移除
audit=0,或者设置为audit=1来启用审计功能。(1)编辑 GRUB 配置文件
根据你的 Linux 发行版,编辑 GRUB 配置文件:
RHEL/CentOS/Fedora
sudo nano /etc/default/grub
Ubuntu/Debian
sudo nano /etc/default/grub
找到类似以下的行:
GRUB_CMDLINE_LINUX="... audit=0 ..."
修改为:
GRUB_CMDLINE_LINUX="... audit=1 ..."
保存并退出编辑。
(2)更新 GRUB 配置
执行以下命令生成新的 GRUB 配置:
sudo grub2-mkconfig -o /boot/grub2/grub.cfg # 对于 RHEL/CentOS/Fedora sudo update-grub # 对于 Ubuntu/Debian
3. 重启系统
修改完成后,重启系统以应用新的内核启动参数:
sudo reboot
4. 验证修改结果
系统重启后,确认内核启动参数是否已生效:
cat /proc/cmdline
确保输出中 没有
audit=0,或者看到audit=1。然后启动
auditd服务:sudo systemctl start auditd sudo systemctl status auditd
状态应显示为
active (running)。