在Ubuntu系統中��,SELinux(Security-Enhanced Linux)并不是默認啟用的安全模塊����,因為Ubuntu默認使用的是AppArmor作為其安全模塊����。然而����,如果你在Ubuntu上啟用了SELinux并希望進行審計��,可以按照以下步驟進行操作:
安裝必要的工具和軟件包
首先�����,你需要安裝一些工具和軟件包來啟用安全審計功能����??梢允褂靡韵旅畎惭b:
sudo apt update
sudo apt install auditd audispd-plugins linux-audit
配置Auditd服務
啟動并啟用Auditd服務:
sudo systemctl start auditd
sudo systemctl enable auditd
配置Auditd規則:
編輯 /etc/audit/auditd.conf 文件�����,配置日志文件的存儲位置和大小限制��。例如:
audit_log_file /var/log/audit/audit.log
audit_log_format rawauditaudit_rotate_size 10485760
audit_rotate_count 7
保存并退出編輯器后�����,重啟Auditd服務以應用更改:
sudo systemctl restart auditd
創建自定義審計規則
創建審計規則文件 /etc/audit/rules.d/audit.rules��,并添加你的規則�����。例如:
-a exit,always -F arch=b32 -S execve -S execveat -k executed-process-a
-a exit,always -F arch=b64 -S execve -S execveat -k executed-process-a
加載自定義審計規則:
sudo auditctl -R /etc/audit/rules.d/audit.rules
查看和搜索審計日志
使用以下命令來監控和查看審計日志:
查看審計日志:
sudo ausearch -m avc -ts recent
查看詳細的審計日志:
sudo ausearch -m avc -ts recent -i
生成報告:
使用 Aureport 命令生成關于審計日志的報告���。例如�����,生成一個包含 SELinux 事件的報告:
Aureport -m selinux
通過以上步驟�,你可以在Ubuntu上配置SELinux和審計工具����,以執行日志審計�,從而提高系統的安全性和可追溯性��。
