深厚入了解Auditd服务， 提升系统平安性

Auditd服务是一款高大效的系统事件日志记录工具，它能够灵活配置记录事件类型，方便查看和琢磨日志，对于系统故障排查和睦安性提升有着显著作用。

安装与启动Auditd服务

先说说需要安装Auditd服务。在Linux系统中， 能用以下命令：

yum install audit -ysystemctl start auditd.servicesystemctl enable auditd.service

然后修改配置文件/etc/audisp/plugins.d/vi syslog.conf，设置active = yes和args = LOG_LOCAL0，并沉启Auditd服务：

service auditd restart

配置Auditd服务

Auditd服务能通过配置文件控制个个事件类型是不是被记录，以及记录的日志内容。

# Record system calls-a always,exit -F arch=b64 -S execve -C uid!=euid -F euid= -k root_activity
# Record file system events-w /etc/shadow -p wa -k sensitive_files

以上配置将在施行文件execve且不是euid为0的root用户时记录系统调用日志，并在写入/etc/shadow文件时记录文件系统事件。

查看Auditd日志

能通过以下命令查看Auditd日志：

auditctl -w /etc/passwd -p rxwa

这条命令将新鲜建一条临时规则， 如果服务沉启或系统沉启，则该命令会被清空。若要永久保存规则，需修改audit.rules文件。

Auditd优化策略

Auditd的优化能从以下几个方面入手：

• 配置文件位置：位于/etc/audit/auditd.conf， 常用参数包括local_eventswrite_logslog_format等。
• 用auditd工具配置， 以下为示例指令：

sudo auditctl -w /etc/passwd -p rxwa

需要注意的是以上指令需要root管理权限。

Auditd服务是系统审计的关键组成有些， 以上观点。