Linux开启服务器审计

Linux开启服务器审计

在 Linux 服务器上启用 auditd（Linux Audit Framework 的守护进程）可以帮助记录系统活动，例如文件访问、用户登录等，为安全审计提供支持。以下是详细的步骤：

 

1. 安装 auditd

   在大多数 Linux 发行版中，auditd 通常是默认安装的。如果未安装，可以通过包管理器安装。

   对于 RHEL/CentOS/Fedora：

   sudo yum install audit audit-libs -y

    

   对于 Ubuntu/Debian：

   sudo apt update sudo apt install auditd audispd-plugins -y

   ---

   2. 启用并启动 auditd

   启用服务（开机自动启动）：

   sudo systemctl enable auditd

   启动服务：

   sudo systemctl start auditd

    

   检查服务状态：

   sudo systemctl status auditd

    

   如果服务运行正常，状态应为 active (running)。

 

如果出现ConditionKernelCommandLine=!audit=0 was not met

1. 确认当前内核启动参数

   检查当前内核启动参数是否包含 audit=0：

   cat /proc/cmdline

   如果输出中包含 audit=0，说明审计功能被禁用。

   ---

   2. 修改内核启动参数

   需要移除 audit=0，或者设置为 audit=1 来启用审计功能。

   （1）编辑 GRUB 配置文件

   根据你的 Linux 发行版，编辑 GRUB 配置文件：

   RHEL/CentOS/Fedora

   sudo nano /etc/default/grub

   Ubuntu/Debian

   sudo nano /etc/default/grub

   找到类似以下的行：

   GRUB_CMDLINE_LINUX="... audit=0 ..."

   修改为：

   GRUB_CMDLINE_LINUX="... audit=1 ..."

   保存并退出编辑。

   （2）更新 GRUB 配置

   执行以下命令生成新的 GRUB 配置：

   sudo grub2-mkconfig -o /boot/grub2/grub.cfg # 对于 RHEL/CentOS/Fedora sudo update-grub # 对于 Ubuntu/Debian

   ---

   3. 重启系统

   修改完成后，重启系统以应用新的内核启动参数：

   sudo reboot

   ---

   4. 验证修改结果

   系统重启后，确认内核启动参数是否已生效：

   cat /proc/cmdline

   确保输出中 没有 audit=0，或者看到 audit=1。

   然后启动 auditd 服务：

   sudo systemctl start auditd sudo systemctl status auditd

    

   状态应显示为 active (running)。