Linux日志安全审计指南

日志安全审计是Linux系统安全管理的重要组成部分，可以帮助管理员监控系统活动、检测异常行为并满足合规要求。以下是Linux日志安全审计的详细方案：

一、核心日志系统配置

1. 系统日志服务(rsyslog/syslog-ng)

• 配置集中化日志：

  # /etc/rsyslog.conf 配置示例
  *.* @192.168.1.100:514  # 转发所有日志到中央日志服务器
  

• 日志分类存储：

  authpriv.* /var/log/secure
  cron.* /var/log/cron
  kern.* /var/log/kern.log
  

2. journalctl (systemd系统)

• 查看日志：journalctl -u sshd --since "2023-01-01" --until "2023-01-02"
• 持久化日志：mkdir /var/log/journal && systemctl restart systemd-journald

二、Linux审计子系统(auditd)

1. 安装与配置

# 安装
sudo apt install auditd  # Debian/Ubuntu
sudo yum install audit   # RHEL/CentOS

# 主要配置文件
/etc/audit/auditd.conf   # 守护进程配置
/etc/audit/audit.rules   # 审计规则

2. 常用审计规则示例

# 监控文件访问
-w /etc/passwd -p wa -k passwd_changes
-w /etc/shadow -p wa -k shadow_changes

# 监控用户登录
-a always,exit -F arch=b64 -S execve -k exec_cmds

# 监控特权命令使用
-w /bin/su -p x -k privileged_cmd
-w /bin/sudo -p x -k privileged_cmd

3. 常用命令

# 查看审计日志
ausearch -k passwd_changes  # 按关键字搜索
aureport -l                 # 生成登录报告

# 实时监控
tail -f /var/log/audit/audit.log

三、高级日志管理工具

1. Logrotate日志轮转

# /etc/logrotate.d/audit 示例
/var/log/audit/audit.log {
    weekly
    rotate 4
    compress
    missingok
    notifempty
    create 0600 root root
}

2. ELK Stack (集中化日志分析)

• Elasticsearch: 日志存储与索引
• Logstash: 日志收集与处理
• Kibana: 日志可视化

3. OSSEC (入侵检测)

# 安装示例
sudo apt install ossec-hids-server
sudo /var/ossec/bin/ossec-control start

四、关键审计内容

1. 用户活动审计

• 登录/登出记录
• sudo命令使用
• 失败的登录尝试
• 用户账户变更

2. 文件系统审计

• 关键系统文件修改(/etc/passwd, /etc/shadow等)
• 敏感目录访问(/root, /etc等)
• 文件权限变更

3. 网络活动审计

• 防火墙规则变更
• 异常网络连接
• 服务启停记录

五、安全审计最佳实践

1. 日志保护：

   • 设置适当权限：chmod 600 /var/log/secure
   • 使用chattr防止删除：chattr +a /var/log/audit/audit.log

2. 日志完整性：

   • 配置syslog使用TCP而非UDP
   • 考虑使用HMAC签名日志

3. 定期审查：

   # 每日检查关键日志
   grep "Failed password" /var/log/auth.log
   grep "session opened" /var/log/audit/audit.log
   

4. 合规要求：

   • 确保日志保留期限符合PCI DSS(至少1年)、HIPAA(至少6年)等要求
   • 定期生成合规报告

通过以上措施，您可以建立一个全面的Linux日志安全审计系统，有效监控系统活动并及时发现安全威胁。