ubuntu 开启审计audit

在Ubuntu中启用审计审计功能通常是通过安装并配置 auditd 服务来实现的。以下是启用和配置审计的步骤：

安装 auditd：

sudo apt-update
sudo apt-get install auditd audispd-plugins

确保 auditd 服务已启动并设置为开机启动：

sudo systemctl enable auditd
sudo systemctl start auditd

检查 auditd 服务状态：

sudo systemctl status auditd

配置审计规则，你可以编辑 /etc/audit/audit.rules 文件来设置审计规则。例如，要审计所有文件的打开操作，可以添加以下规则：

-w / -p rwxa -k file_access

为了让新的规则生效，你需要重新加载审计规则或者重启 auditd 服务：

sudo auditctl -R /etc/audit/audit.rules
# 或者
sudo systemctl restart auditd

查看审计日志，可以使用 ausearch 或 aureport 命令查看审计记录：

sudo ausearch -k file_access
sudo aureport -k

请注意，审计规则和日志查询可能需要根据具体需求进行调整。审计可能会对系统性能产生轻微影响，因此应根据系统的使用情况和安全需求有意识地配置审计。

在Ubuntu系统中，使用auditd进行文件权限审计和安全审计时，可以配置不同的规则来监控特定的文件操作或系统活动。以下是一些常用的auditd规则示例

1.监控特定目录的文件权限变：
为了监控特定目录的文件权限变更，可以使用以下规则：

-w /path/to/directory -p wa -k directory_change

其中，/path/to/directory 是要审计的目录路径，-p wa 表示审计写入和属性更改事件，-k directory_change 是规则的标记，用于在审计日志中标识此类事

2.监控rm命令的操：
若要监控rm命令删除文件的行为，可以配置如下规则：

-w /bin/rm -p x -k delfile

这条规则会监控对/bin/rm的执行，记录删除文件的操作，包括删除的文件名、所在目录等信息

3.监控敏感文件的访：
为了审计用户对敏感文件的访问，可以添加如下规则：

-w /path/to/sensitive/file -p rwxa -k sensitive_file_access

这条规则会监控对指定文件的读、写、执行和属性更改操作，并将相关事件标记为sensitive_file_acces

通过这些规则的配置，可以有效地监控文件权限的变更、记录rm命令的操作以及敏感文件的访问情况，从而增强系统的安全性。