Linux开启服务器审计

Linux开启服务器审计

在 Linux 服务器上启用 auditd(Linux Audit Framework 的守护进程)可以帮助记录系统活动,例如文件访问、用户登录等,为安全审计提供支持。以下是详细的步骤:

 

 

1.安装 auditd

在大多数 Linux 发行版中,auditd 通常是默认安装的。如果未安装,可以通过包管理器安装。

对于 RHEL/CentOS/Fedora:

sudo yum install audit audit-libs -y

 

对于 Ubuntu/Debian:

sudo apt update sudo apt install auditd audispd-plugins -y

 

2. 启用并启动 auditd

 

启用服务(开机自动启动):

sudo systemctl enable auditd

启动服务:

sudo systemctl start auditd

 

检查服务状态:

sudo systemctl status auditd

 

如果服务运行正常,状态应为 active (running)

 

 

如果出现ConditionKernelCommandLine=!audit=0 was not met

1.确认当前内核启动参数

检查当前内核启动参数是否包含 audit=0

cat /proc/cmdline

如果输出中包含 audit=0,说明审计功能被禁用。

2. 修改内核启动参数

需要移除 audit=0,或者设置为 audit=1 来启用审计功能。

(1)编辑 GRUB 配置文件

根据你的 Linux 发行版,编辑 GRUB 配置文件:

RHEL/CentOS/Fedora
sudo nano /etc/default/grub
Ubuntu/Debian
sudo nano /etc/default/grub

找到类似以下的行:

GRUB_CMDLINE_LINUX="... audit=0 ..."

修改为:

GRUB_CMDLINE_LINUX="... audit=1 ..."

保存并退出编辑。

(2)更新 GRUB 配置

执行以下命令生成新的 GRUB 配置:

sudo grub2-mkconfig -o /boot/grub2/grub.cfg # 对于 RHEL/CentOS/Fedora 
sudo update-grub # 对于 Ubuntu/Debian

3. 重启系统

修改完成后,重启系统以应用新的内核启动参数:

sudo reboot

4. 验证修改结果

系统重启后,确认内核启动参数是否已生效:

cat /proc/cmdline

确保输出中 没有audit=0,或者看到 audit=1

然后启动 auditd 服务:

sudo systemctl start auditd sudo systemctl status auditd

状态应显示为 active (running)

 

posted @   嘻嘻哈哈大只佬  阅读(254)  评论(0编辑  收藏  举报
相关博文:
·  postgis镜像启动需要的属性
·  elementui表格导出为excel
·  Linux 监控服务 audit的安装与使用
·  4步教你学会使用Linux-Audit工具
·  安全计算环境-(三)Linux服务器-3
阅读排行:
· TypeScript + Deepseek 打造卜卦网站:技术与玄学的结合
· Manus的开源复刻OpenManus初探
· AI 智能体引爆开源社区「GitHub 热点速览」
· 三行代码完成国际化适配,妙~啊~
· .NET Core 中如何实现缓存的预热?
点击右上角即可分享
微信分享提示
SQL AI 助手