linux安全合规需五步:一、启用auditd并配置规则监控关键事件;二、配置sudo日志至独立文件并限制权限;三、启用selinux强制模式;四、部署aide进行文件完整性校验;五、通过pam模块审计登录与会话行为。
在Linux系统中实施审计与安全合规措施,是保障系统完整性、机密性和可用性的关键环节。以下是实现该目标的具体操作路径:
一、启用并配置 auditd 服务
auditd 是 Linux 内核提供的核心审计守护进程,用于记录系统调用、文件访问、用户登录等关键事件。启用后可生成结构化日志供后续分析。
1、执行 systemctl start auditd 启动服务。
2、运行 systemctl enable auditd 设置开机自启。
3、编辑 /etc/audit/rules.d/audit.rules 文件,添加规则如 -w /etc/passwd -p wa -k identity 监控敏感文件变更。
4、使用 augenrules --load 加载新规则并重启 auditd。
二、配置 sudo 日志审计策略
sudo 命令的使用行为直接影响特权操作可追溯性。通过集中记录所有 sudo 执行命令,可满足最小权限与操作留痕要求。
1、确认 /etc/sudoers 中包含 Defaults logfile="/var/log/sudo.log" 行。
2、执行 chmod 600 /var/log/sudo.log 限制日志文件访问权限。
3、在 /etc/rsyslog.conf 中追加 local2.debug /var/log/sudo.log 并重启 rsyslog。
三、启用 SELinux 强制访问控制
SELinux 提供基于策略的细粒度访问控制机制,可阻止未授权的进程间通信与文件访问,增强系统抗渗透能力。
1、检查当前状态:运行 sestatus 确认值为 enabled 且 current mode 为 enforcing。
websenB2B是一套经过完善设计的B2B行业网站程序,是windows nt系列环境下最佳的B2B行业网产站解决方案。精心设计的架构与功能机制,适合从个人到企业各方面应用的要求,为您提供一个安全、稳定、高效、易用而快捷的行业网站商务系统。分普及版和商业版等不同版本。一、网胜B2B电子商务系统SP6.2蓝色风格普及版本升级功能说明:1、邮件群发功能:可以选择某一级别的会员,并放入支持html
2、若处于 permissive 模式,执行 setenforce 1 切换至 enforcing 模式。
3、编辑 /etc/selinux/config,将 SELINUX=permissive 改为 SELINUX=enforcing。
四、部署 AIDE 文件完整性检测
AIDE(Advanced Intrusion Detection Environment)通过比对文件哈希值变化识别非法篡改,适用于静态资产基线校验。
1、安装工具:执行 apt install aide(Debian/Ubuntu)或 yum install aide(RHEL/CentOS)。
2、初始化数据库:运行 aide --init,生成默认配置并保存至 /var/lib/aide/aide.db.new。
3、重命名数据库:执行 mv /var/lib/aide/aide.db.new /var/lib/aide/aide.db。
4、设置每日校验任务:向 /etc/cron.daily/aide-check 写入 aide --check 并赋予执行权限。
五、配置 PAM 登录审计模块
PAM(Pluggable Authentication Modules)可在用户认证各阶段插入审计逻辑,捕获登录失败、密码修改、会话建立等事件。
1、编辑 /etc/pam.d/sshd,在首行添加 auth [default=ignore] pam_audit.so。
2、修改 /etc/pam.d/system-auth,在 auth 段加入 auth required pam_faildelay.so delay=4000000 防暴力破解。
3、向 /etc/pam.d/common-auth(Debian系)或 /etc/pam.d/password-auth(RHEL系)追加 session required pam_exec.so /usr/local/bin/log-session.sh 记录会话起止。
