如何配置 Linux auditd 服务记录关键系统调用以便安全审计？

配置 Linux auditd 记录关键系统调用是安全审计的基础工作，建议优先监控 execve 系统调用以记录命令执行，并结合敏感文件访问规则，适用于需要合规审计或入侵排查的生产环境。

先说结论：auditd 是内核级审计工具，配置重点在于平衡日志量与审计需求，避免全量记录导致磁盘爆满。

• 先判断：确认业务场景是否需要记录所有命令执行，还是仅关注敏感操作。
• 优先做：先配置 execve 系统调用监控和关键文件访问规则，务必添加 UID 过滤（auid>=1000），再逐步细化。
• 再验证：通过触发操作检查/var/log/audit/audit.log 是否有对应记录。
• 注意：修改规则建议使用 reload 或 auditctl -R 加载，避免 restart 导致审计中断。

命令速用版

# 查看 auditd 状态
systemctl status auditd# 临时添加规则监控 execve 系统调用（重启失效，已加 UID 过滤）
auditctl -a exit,always -F arch=b64 -S execve -F auid>=1000 -F auid!=4294967295 -k command_exec# 查看当前规则列表
auditctl -l# 搜索最近的 execve 记录
ausearch -sc execve -ts recent

为什么会这样

auditd 服务直接与 Linux 内核审计子系统交互，能够记录系统调用层面的事件。与普通日志不同，它不依赖应用程序输出，因此即使攻击者删除了 bash_history，auditd 依然可能保留执行记录。配置系统调用（syscall）规则是因为它是程序与内核交互的接口，记录它相当于记录了“谁在什么时候让内核做了什么”。

分步处理

1. 确认服务状态
首先检查 auditd 是否安装并运行。大多数主流发行版默认安装，但未启用。

systemctl enable auditd
systemctl start auditd

2. 备份现有规则
在修改前备份当前规则，防止配置错误导致无法恢复。

auditctl -l > /root/audit_rules_backup.txt

3. 配置关键系统调用规则
建议将规则写入/etc/audit/rules.d/目录下的配置文件，以便重启后持久化。使用 vim 创建一个自定义规则文件，例如 99-custom.rules。

vim /etc/audit/rules.d/99-custom.rules

在文件中写入以下内容（注意已添加 UID 过滤，避免记录系统进程）：

# 监控所有用户执行的命令（execve 系统调用，过滤系统用户）
-a exit,always -F arch=b64 -S execve -F auid>=1000 -F auid!=4294967295 -k command_exec# 监控敏感文件访问（如/etc/shadow）
-w /etc/shadow -p wa -k shadow_access# 监控挂载操作
-a exit,always -F arch=b64 -S mount -k mount_ops

4. 加载规则
修改配置后，不建议直接重启服务，以免短暂中断审计。使用 auditctl -R 加载规则文件或 systemctl reload。

# 推荐方式：直接加载规则文件，无需重启服务
auditctl -R /etc/audit/rules.d/99-custom.rules# 或者使用 systemd reload
systemctl reload auditd

怎么验证是否生效

1. 检查规则列表
使用 auditctl -l 查看当前内核中加载的规则，确认刚才配置的规则是否存在。

auditctl -l | grep command_exec

2. 触发操作并查询日志
执行一个简单的命令，然后使用 ausearch 查询日志。日志默认位于/var/log/audit/audit.log。

ls /tmp
ausearch -k command_exec -ts recent

如果输出中包含 type=SYSCALL 且 comm 字段显示刚才执行的命令，说明配置生效。

常见坑

1. 日志磁盘空间
监控 execve 会产生大量日志，尤其是高并发服务器。务必添加 auid>=1000 过滤，否则系统进程执行也会被记录，迅速写满磁盘。同时配置 logrotate 或设置 auditd 的最大日志文件大小（max_log_file）。

2. 规则顺序影响性能
auditd 规则按顺序匹配，过于复杂的规则或过多的通配符会增加内核开销。建议先少量关键规则，观察负载后再扩展。

3. 临时规则与持久化
使用 auditctl 命令添加的规则重启后失效。生产环境必须将规则写入/etc/audit/rules.d/*.rules 文件并确保服务重启后自动加载。

4. 容器环境限制
容器内通常共享宿主机内核审计 namespace，建议在宿主机配置规则并通过容器 ID 过滤。直接在容器内配置 auditd 通常不可行或效果受限。

参考来源

• Red Hat Documentation, "Configuring the audit framework", access.redhat.com
• Linux Audit Project, "Auditd Configuration", linux-audit.com
• Linux Man Pages, "auditctl(8)", man7.org

原文链接：https://www.zjcp.cc/ask/11369.html