如何监控Root访问权限使用

监控root访问权限的使用是确保系统安全的重要环节。以下是一些步骤和工具，可以帮助你监控和管理root用户的访问：

1. 使用 auditd 进行审计

auditd 是一个强大的审计工具，可以记录系统调用和文件访问。

安装 auditd

sudo apt-get install auditd audispd-plugins

配置 auditd

编辑 /etc/audit/audit.rules 文件，添加以下规则来监控root用户的活动：

-a exit,always -F arch=b32 -S execve -F euid=0 -k root_exec
-a exit,always -F arch=b64 -S execve -F euid=0 -k root_exec
-w /etc/passwd -p wa -k passwd_change
-w /etc/shadow -p wa -k shadow_change
-w /etc/sudoers -p wa -k sudoers_change

启动和启用 auditd

sudo systemctl start auditd
sudo systemctl enable auditd

查看审计日志

sudo ausearch -k root_exec
sudo ausearch -k passwd_change
sudo ausearch -k shadow_change
sudo ausearch -k sudoers_change

2. 使用 fail2ban 防止暴力破解

fail2ban 可以监控日志文件并禁止恶意IP地址。

安装 fail2ban

sudo apt-get install fail2ban

配置 fail2ban

编辑 /etc/fail2ban/jail.local 文件，添加以下内容：

[DEFAULT]
bantime = 600
findtime = 600
maxretry = 3

[ssh]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
banaction = iptables-multiport

启动和启用 fail2ban

sudo systemctl start fail2ban
sudo systemctl enable fail2ban

3. 使用 pam_tally2 限制登录失败次数

pam_tally2 可以限制用户在一定时间内失败的登录尝试次数。

安装 pam_tally2

sudo apt-get install libpam-modules

配置 pam_tally2

编辑 /etc/pam.d/common-auth 文件，添加以下行：

auth required pam_tally2.so onerr=fail deny=3 unlock_time=600

重置计数器

sudo pam_tally2 --user=root --reset

4. 使用 SELinux 或 AppArmor 进行强制访问控制

SELinux 和 AppArmor 提供了更细粒度的访问控制，可以限制root用户的权限。

SELinux

sudo apt-get install selinux-basics selinux-policy-default
sudo setenforce 1

AppArmor

sudo apt-get install apparmor apparmor-utils
sudo aa-enforce /etc/apparmor.d/usr.sbin.sshd

5. 定期审查和更新系统

定期审查系统配置和用户权限，确保没有不必要的root访问权限。

更新系统

sudo apt-get update
sudo apt-get upgrade

通过以上步骤和工具，你可以有效地监控和管理root用户的访问权限，提高系统的安全性。