Linux SELinux如何进行安全审计

linux

小樊

2025-08-27 11:55:20

栏目: 智能运维

Linux SELinux安全审计可通过以下步骤实现：

查看SELinux状态
- 使用getenforce或sestatus确认是否启用（Enforcing为强制模式）。
配置审计服务
- 安装auditd：sudo apt install auditd（Ubuntu）或sudo yum install audit（CentOS）。
- 编辑/etc/audit/auditd.conf，设置日志存储路径、大小等参数。
- 启动服务：sudo systemctl start auditd && sudo systemctl enable auditd。
添加审计规则
- 使用auditctl监控关键文件/目录，例如：
  sudo auditctl -w /etc/selinux/ -p wa -k selinux_config（监控配置文件变更）。
查看与分析日志
- 查看实时日志：sudo tail -f /var/log/audit/audit.log。
- 搜索特定事件（如拒绝访问）：
  sudo ausearch -m avc -ts recent -te now（avc为SELinux访问控制事件）。
- 生成审计报告：sudo aureport -m selinux或sudo aureport -i。
日志分析与优化
- 使用audit2why分析拒绝原因，audit2allow生成规则建议。
- 定期清理日志或配置日志轮转（如logrotate）。

关键工具：auditd（审计守护进程）、ausearch（日志搜索）、aureport（报告生成）、audit2allow（规则建议）。
日志路径：默认存储于/var/log/audit/audit.log。

最新问答