在CentOS系统中,配置日志审计策略通常涉及以下几个步骤:
安装必要的软件包:
确保你的系统上安装了auditd和audit相关的软件包。你可以使用以下命令来安装它们:
sudo yum install audit audit-libs
启动并启用auditd服务:
启动auditd服务并设置开机自启动:
sudo systemctl start auditd
sudo systemctl enable auditd
配置auditd:
编辑/etc/audit/auditd.conf文件来配置auditd。你可以根据需要调整以下参数:
log_format: 设置日志格式(例如,RAW或JSON)。log_target: 设置日志目标(例如,SYSLOG、FILE等)。write_logs: 设置是否写入日志文件。示例配置:
log_format = RAW
log_target = SYSLOG
write_logs = yes
创建审计规则:
编辑/etc/audit/rules.d/audit.rules文件来添加自定义的审计规则。你可以根据需要添加各种规则来监控特定的文件、目录或系统调用。
示例规则:
-a exit,always -F arch=b64 -S execve -k process_execution
-a exit,always -F arch=b32 -S execve -k process_execution
-w /etc/passwd -p wa -k passwd_change
-w /etc/shadow -p wa -k shadow_change
这些规则会监控/etc/passwd和/etc/shadow文件的写入和属性更改操作,并将相关事件标记为passwd_change和shadow_change。
加载审计规则:
保存并关闭audit.rules文件后,重新加载审计规则:
sudo augenrules --load
查看审计日志:
审计日志通常存储在/var/log/audit/audit.log文件中。你可以使用以下命令查看日志:
sudo ausearch -k passwd_change
sudo ausearch -k shadow_change
设置日志轮转:
为了防止日志文件过大,你可以配置日志轮转。编辑/etc/logrotate.d/audit文件,添加以下内容:
/var/log/audit/audit.log {
daily
missingok
rotate 7
compress
notifempty
create 0640 root adm
}
这将每天轮转一次日志文件,并保留最近7天的日志。
通过以上步骤,你可以在CentOS系统上配置一个基本的日志审计策略。根据你的具体需求,你可以进一步调整和扩展这些配置。
