[.com速译]借助auditd,您可以更轻松地监控Linux服务器上的事件。Linux审计系统是系统管理员为数据中心服务器上的几乎每个操作创建日志记录规则的好方法。使用该系统意味着可以跟踪、记录事件,甚至可以通过日志文件检测滥用或未经授权的活动。审计守护进程(auditd)允许您选择要监视服务器上的哪些操作(而不是监视所有内容),而不会干扰标准日志记录工具(例如syslog)。关于auditd需要注意的一件事是它实际上并没有为系统增加任何额外的安全性。相反,它为您提供了一种跟踪服务器上发生的任何违规行为的方法,以便您可以针对滥用行为采取措施。使用此工具,管理员可以通过命令行创建规则来监控众多系统和服务。auditd在内核级别运行,因此您可以访问所需的任何服务。auditd系统适用于大多数Linux发行版,但我将演示它在UbuntuServer18.04上的用法。你需要什么?您只需要一台Linux服务器(或台式机,如果您愿意)和一个具有sudo权限的用户帐户。准备就绪后,让我们来看看auditd是如何工作的。安装auditd很可能已经安装在您的计算机上。如果没有安装,你可以用这个命令安装它:sudoapt-getinstallauditd-y安装后,确保使用以下命令启动并启用系统:sudosystemctlstartauditdsudosystemctlenableauditdconfigurationauditdauditd的配置在单个文件中处理(而规则在一个完全独立的文件处理)。虽然默认值足以满足大多数要求,但您可以通过执行此命令来配置系统:sudonano/etc/audit/audit.conf在该文件中,您可能需要配置以下条目:日志文件的位置在log_file=/var行/log/audit/audit.log中配置。服务器上保留的日志数在条目num_logs=5中配置。在max_log_file=8行配置最大日志文件大小(以MB为单位)。如果您对此配置进行任何更改,则需要使用以下命令重新启动auditd:sudosystemctlrestartauditd创建规则需要做的第一件事是确保您从干净的状态开始。执行命令:sudoauditctl-l上面的命令应该没有显示任何规则(图A)。图A:我们确保auditd处于干净状态让我们创建一个规则来监视/etc/passwd和/etc/shadow是否有任何更改。我们想要创建一个规则来监视特定路径并监视对该文件的写权限属性的更改。换句话说,如果恶意用户更改了passwd和shadow文件的写入权限,则会被记录下来。为此,我们将执行命令:sudonano/etc/audit/rules.d/audit.rules在此文件的底部,添加以下两行:-w/etc/shadow-pwa-kshadow-w/etc/passwd-pwa-kpasswd将上面的行分解如下:-w是要遵循的路径。-p是监控的权限。-k是规则的键名。至于权限,它有点像标准的Linux,增加了:r-读w-写x-执行a-文件属性(所有权或权限)的变化在这种情况下,我们要查看文件的写权限(w),看属性(a)有没有变化,所以我们的权限会是wa。一旦我们添加了两条新规则,保存并关闭文件,然后使用以下命令重新启动auditd:sudosystemctlrestartauditd您现在应该能够通过执行命令(图B)看到列出的新规则:sudoauditctl-l图B:我们的新规则已经到位查看auditd日志文件您可以通过执行以下命令查看auditd日志文件中的每个条目:less/var/log/audit/audit.log您很快会发现该文件充满了条目。值得庆幸的是,有一种更简单的方法。因为我们在规则中包含了密钥,所以我们可以使用内置的auditd搜索工具来仅查看包含passwd或shadow密钥的条目。要查看包含passwd密钥的任何条目,请执行命令:ausearch-kpasswd,您应该会看到列出的任何包含指定密钥的条目(图C)。图C:到目前为止,passwd密钥名称显示了两个条目假设您添加了一个新用户(使用sudoadduser命令)。因为您需要为该用户创建一个密码条目(写入/etc/passwd),它会出现在我们的ausearch-kpasswd搜索命令中(图D)。图D:为新用户创建新密码并使用auditd记录。ausearch工具功能强大。有关其用法的更多信息,请务必通过manausearch命令阅读参考手册页。这就是在数据中心的Linux服务器上使用auditd的意义所在。现在您有办法监控您需要监视的任何系统或服务。原标题:HowtomonitoreventsonyourLinuxdatacenterserverswithauditd,作者:JackWallen
