轻松学习Linux：如何开启Audit功能 (linux 开启audit)

Linux系统是一个开放源代码的操作系统，而且它被广泛应用于服务器、网络设备、超级计算机等领域。然而，这个操作系统的强大功能也给了恶意攻击者足够的机会去窃取用户的数据信息。作为一名Linux系统管理员，我们必须确保系统和数据的安全性。本文将教你如何开启Linux的Audit功能，来保护你的系统安全。

什么是Linux的Audit功能？

Linux的Audit功能是一个系统安全功能，它可以记录系统的各项操作和事件，包括用户登录、文件操作、系统日志、网络访问等。借助Audit功能的日志记录，系统管理员可以跟踪用户活动并定位安全漏洞，从而提高系统的安全性和可信度。

启用Audit功能

1. 确认系统是否已经安装了Audit功能

要启用Audit功能，首先要确认系统是否已经安装了Audit套件。你可以使用下面的命令来检查：

# rpm -q audit

或者使用下面的命令：

# yum list installed | grep audit

如果Audit已经安装在系统上了，你肯定会看到相关的版本和信息，否则就只有一条类似“No package audit avlable”的提示信息。

2. 启动和开启Audit功能

完成安装后，你需要启动Audit服务并开启Audit功能。你可以使用下面的命令来完成操作：

# systemctl start auditd.service

# systemctl enable auditd.service

开启Audit功能后，系统会自动记录下与其有关的事件和操作。如果你需要进行更为详细的配置和设置，则需要在Audit规则中进行定义。

定义Audit规则

定义Audit规则通过auditctl命令实现。你可以在命令行中使用该命令，在Audit规则中定义需要被记录的事件和操作。下面是一些常用的适用于Audit规则的命令：

1. 列出当前的Audit规则

# auditctl -l

2. 增加和修改Audit规则

在增加和修改Audit规则之前，你需要在/etc/audit/auditd.conf配置文件中开启管理员权限，增加或修改Audit规则。执行下面的命令：

# vim /etc/audit/rules.d/local.rules

在打开的文件中，你可以按照如下的方式来定义Audit规则：

下面，我们就来举一个例子。假设我们需要添加一个规则，记录对系统中shadow文件(auth.log)的读取操作，以跟踪登录信息。我们需要在规则文件中添加如下的命令：

-w /var/log/auth.log -p r -k reading_auth_logs

这条规则将会记录/var/log/auth.log的所有读取操作，记录到Audit日志中。其中，-w参数用于指定监控的文件或目录，-p参数用于指定监控事件的类型，-k参数用于指定被监控事件的标记。

执行完以上的规则添加后，运行下面的命令即可让规则立即生效：

# auditctl -R /etc/audit/rules.d/local.rules

以上的命令可以重新加载规则文件并让规则立即生效。此外，还可以执行以下命令来验证规则是否正确：

# auditctl -l | grep auth

以上命令将会列出所有与“auth”相关的规则。

提取Audit记录

到此为止，你已经成功启用Audit功能并定义了对系统的监控规则。接下来，你需要知道如何提取Audit日志记录。Linux系统提供了‘ausearch’命令来辅助该操作。

1. 查看Audit日志时间范围

要查看Audit日志记录中的事件序列，你需要先确定时间的范围。可以通过下列命令来查询 Audit日志记录的时间范围：

# sudo aureport -j

2. 查看详细的Audit记录

在确认时间范围后，你可以通过执行下列命令来查看详细的Audit记录：

a. aureport -l

b. auditd -s time,now -f

实际上， ‘ausearch’ 命令还有更多其他的参数，可以根据需求进行选取使用。

结语

开启Audit功能是一种比较简单有效的Linux系统安全管理方式，它可以记录系统的各个操作和事件，发现潜在安全威胁并加以处理。如果你是系统管理员，你可以根据本文的步骤来启用Audit功能，并定义需要监控的规则，从而提高系统的安全性和稳定性。

相关问题拓展阅读：

• TP1200的屏怎样安装audit
• linux启动时出现几个加载失败，请问怎么解决？

TP1200的屏怎样安装audit

在文件中进行操作就可以。

安装过程：拿团1、把文件上传到/opt目录下消肢橘，#cd/opt/，#unzipaudit-plugin-mariadb-10.2-1.1.4-725-linux-x86_64.zip。

2、登录数饥运据库，查看存放路径，mysql>showglobalvariableslike’plugin_dir’，#cpaudit-plugin-mariadb-10.2-1.1.4-725/lib/libaudit_plugin.so/usr/lib64/mysql/plugin/，#cd/usr/lib64/mysql/plugin/。

3、授权：#chmod+xlibaudit_plugin.so，#chownmysql：mysqllibaudit_plugin.so。

linux启动时出现几个加载失败，请问怎么解决？

Mounting HGFS shares: FAILED

我先把usr以及var的权限给改回去了，改为755

然后，找了一堆资料：

Mounting HGFS shares: FAILED

在VM中安装Ubuntu系统，安装好VMware Tools之后，启动Ubuntu的时候会提示如下错误：

Mounting HGFS filesystems: FAILED ，但不影响Ubuntu的使用。

这是由于VMware的一个新功能设置问题造成的报错，解决办法是: 在VM->Setting中的Option页面，设置Shared Folders，使之enable 就可以了，这个功能能把host上的目录mount到Guest上的/mnt/hgfs目录，实现共享访问。

Error: cannot mount filesystem: Protocol error”

等错误的时候，poweroff虚拟机，在vm–setting中将shared folder改为 always enabled ，然后重新poweron虚拟机。一般即可。我出现这个错误是因为虚拟机本来放在C盘，然后整个拷贝到E盘中了

#chown root.root /var/log/audit/audit.log

#chmod 600 /var/log/audit/audit.log

在VM->Setting中的Option页面，设置Shared Folders，使之enable 就可以了，这个功能能把host上的目录mount到Guest上的/mnt/hgfs目录，实现共享访问。

解决办法是: 在VM->Setting中的Option页面，设置Shared Folders，使之enable 就可以了，这个功能能把host上的目录mount到Guest上的/mnt/hgfs目录，实现共享访问。

关于linux 开启audit的介绍到此就结束了，不知道你从中找到你需要的信息了吗 ？如果你还想了解更多这方面的信息，记得收藏关注本站。

香港服务器首选后浪云，2H2G首月10元开通。
后浪云（www.IDC.Net）提供简单好用，价格厚道的香港/美国云服务器和独立服务器。IDC+ISP+ICP资质。ARIN和APNIC会员。成熟技术团队15年行业经验。