一、auditd 常用规则模板永久规则直接复制所有规则均为永久规则需写入/etc/audit/rules.d/custom.rules文件加载后开机自动生效。按场景模块化划分可按需勾选添加。1. 账号安全监控防后门用户 / 账号篡改bash# 监控用户账号文件创建/修改/删除用户 -w /etc/passwd -p wa -k account_passwd # 用户账号核心文件 -w /etc/group -p wa -k account_group # 用户组文件 -w /etc/shadow -p wa -k account_shadow # 密码哈希文件高敏感 -w /etc/gshadow -p wa -k account_gshadow# 组密码文件 -w /var/log/wtmp -p wa -k login_history # 登录历史记录 -w /var/log/btmp -p wa -k failed_login # 失败登录记录2. 权限变更监控防提权 / 权限滥用bash# 监控权限修改工具 -w /usr/bin/chmod -p xa -k perm_chmod # 修改文件权限 -w /usr/bin/chown -p xa -k perm_chown # 修改文件所有者 -w /usr/bin/chgrp -p xa -k perm_chgrp # 修改文件所属组 # 监控sudo相关权限提升关键 -w /usr/bin/sudo -p xa -k sudo_exec # sudo命令执行 -w /etc/sudoers -p wa -k sudoers_modify # sudo配置文件修改 -w /etc/sudoers.d/ -p wa -k sudoers_d_modify # sudo附加配置目录3. 敏感目录 / 文件监控防数据泄露 / 篡改bash# 业务数据目录替换为实际路径 -w /data/ -p rwxa -k sensitive_data # 递归监控/data目录读/写/执行/属性变更 -w /var/www/html/ -p rwxa -k web_data # Web网站根目录适用于Web服务器 # 系统敏感文件 -w /etc/profile -p wa -k profile_modify # 环境变量配置文件 -w /etc/bashrc -p wa -k bashrc_modify # Bash配置文件 -w /etc/hosts -p wa -k hosts_modify # 主机映射文件4. 危险命令监控防误删 / 恶意破坏bash# 文件删除/移动命令 -w /usr/bin/rm -p xa -k cmd_rm # 删除文件高危 -w /usr/bin/rmdir -p xa -k cmd_rmdir # 删除目录 -w /usr/bin/mv -p xa -k cmd_mv # 移动/重命名文件 # 系统操作命令 -w /usr/bin/reboot -p xa -k cmd_reboot # 重启系统 -w /usr/bin/shutdown -p xa -k cmd_shutdown # 关闭系统 -w /usr/bin/dd -p xa -k cmd_dd # 磁盘读写防数据擦除5. SSH 安全监控防暴力破解 / 配置篡改bash# SSH配置文件监控 -w /etc/ssh/sshd_config -p wa -k sshd_config # SSH服务配置 -w /etc/ssh/ssh_config -p wa -k ssh_config # SSH客户端配置 # SSH登录日志监控按系统区分 -w /var/log/auth.log -p r -k ssh_login_ubuntu # Ubuntu SSH登录日志 # -w /var/log/secure -p r -k ssh_login_centos # CentOS SSH登录日志6. 系统脚本 / 启动项监控防恶意篡改bash# 系统启动脚本 -w /etc/init.d/ -p wa -k init_script # 系统服务脚本目录 -w /etc/rc.local -p wa -k rc_local # 开机自启脚本 -w /etc/systemd/system/ -p wa -k systemd_service # systemd服务配置 # 定时任务监控防恶意计划任务 -w /etc/crontab -p wa -k crontab_modify # 系统定时任务 -w /etc/cron.d/ -p wa -k cron_d_modify # 定时任务附加目录 -w /var/spool/cron/ -p wa -k cron_spool # 用户定时任务规则加载与验证必执行bash# 1. 保存规则文件后设置权限防止被篡改 sudo chown root:root /etc/audit/rules.d/custom.rules sudo chmod 600 /etc/audit/rules.d/custom.rules # 2. 加载规则立即生效无需重启auditd sudo augenrules --load # 3. 验证规则是否生效 sudo auditctl -l二、auditd 日志分析速查表核心命令直接复制审计日志默认路径/var/log/audit/audit.log核心工具为ausearch精准查询和aureport统计报表按功能分类整理。2.1 ausearch精准查询日志应急响应首选功能场景命令参数说明按关键词查询最常用sudo ausearch -k account_passwd -i-k规则关键词-i人性化输出查询指定时间范围日志sudo ausearch -k sensitive_data -ts 2024-06-01 -te 2024-06-02 -i-ts开始时间-te结束时间查询今日日志sudo ausearch -k cmd_rm -ts today -itoday简化时间支持yesterday查询失败事件sudo ausearch -m SYSCALL -f exit-EPERM -i-m事件类型exit-EPERM权限失败查询文件变更记录sudo ausearch -f /etc/passwd -i-f指定文件路径查询进程执行记录sudo ausearch -x /usr/bin/sudo -i-x指定进程名导出查询结果sudo ausearch -k ssh_login_ubuntu -i ssh_audit.log导出到文件便于分析2.2 aureport生成统计报表合规审计首选统计场景命令核心作用总体事件统计sudo aureport -i按事件类型汇总如账号变更、权限修改按用户统计操作sudo aureport -u -i定位高频操作用户防异常账号按进程统计执行sudo aureport -x -i统计进程执行次数排查恶意进程按文件统计变更sudo aureport -f -i汇总被修改的文件防数据篡改失败事件报表sudo aureport -f --failed -i仅显示失败操作如登录失败、权限不足时间范围报表sudo aureport -ts 09:00 -te 18:00 -i统计工作时间内的审计事件SSH 登录统计sudo aureport -k ssh_login_ubuntu -i按关键词统计 SSH 相关事件2.3 应急筛选快速定位异常直接复制bash# 1. 快速查找/etc/passwd被修改的记录 sudo grep account_passwd /var/log/audit/audit.log | tail -20 # 2. 查找最近10条rm命令执行日志 sudo ausearch -k cmd_rm -i | tail -10 # 3. 查找SSH登录失败记录 sudo ausearch -k failed_login -i # 4. 查找sudo执行的高危操作 sudo ausearch -k sudo_exec -i | grep rm\|chmod 777 # 5. 查找敏感目录/data的异常访问 sudo ausearch -k sensitive_data -i | grep WRITE\|DELETE三、使用注意事项 核心提醒规则加载修改永久规则后必须执行sudo augenrules --load才能生效日志安全审计日志权限设为600chmod 600 /var/log/audit/audit.log仅 root 可读写防止被篡改性能优化避免监控/根目录或高 IO 目录如数据库数据目录否则会导致系统卡顿日志轮转调整/etc/audit/auditd.conf中的max_log_file100单日志 100MB和num_logs5保留 5 个轮转日志防止磁盘占满CentOS 7 特殊auditd 无法重启修改auditd.conf后需重启系统优先使用永久规则避免临时规则丢失。:::实战优化技巧关键词命名规范统一用 “场景_操作” 格式如account_passwd、cmd_rm便于日志过滤模块化管理规则文件按 “场景注释 规则” 分组后续可按需启用 / 禁用远程备份将审计日志同步到 ELK、Graylog 等远程日志服务器防止本地日志被删除。四、总结规则模板核心按 “账号安全→权限变更→敏感数据→危险命令” 优先级配置覆盖 80% 企业安全场景日志分析逻辑应急响应用ausearch精准查询合规审计用aureport生成报表落地建议先配置 “账号安全 SSH 安全 危险命令” 核心规则再根据业务需求添加敏感目录监控。所有规则和命令均可直接复制执行无需手动编写适合 Linux 运维、安全工程师快速部署 auditd 审计系统。文末互动觉得文章实用点赞 收藏 关注后续持续更新 Linux 安全加固、应急响应实战工具包