RockyLinux auditd命令详解（Linux系统审计配置与安全加固完整教程）

什么是 auditd？

auditd 是 Linux 审计子系统的守护进程，它能够记录系统调用、文件访问、用户行为等关键事件，并将这些信息写入日志文件。通过分析这些日志，管理员可以追踪异常操作、满足合规要求（如 PCI-DSS、ISO 27001），并提升整体系统安全性。

第一步：安装 auditd（RockyLinux 默认已安装）

大多数 RockyLinux 系统默认已预装 auditd。若未安装，可使用以下命令安装：

sudo dnf install audit -y  

第二步：启动并启用 auditd 服务

确保 auditd 在系统启动时自动运行：

sudo systemctl start auditdsudo systemctl enable auditd  

第三步：配置审计规则

审计规则定义了哪些行为需要被记录。规则分为两类：静态规则（写入配置文件）和动态规则（运行时添加）。

1. 静态规则配置（推荐用于持久化）

编辑主配置文件 /etc/audit/rules.d/audit.rules（注意：不是 /etc/audit/audit.rules，后者由系统自动生成）：

# 监控 /etc/passwd 文件的读写和属性变更-w /etc/passwd -p rwxa -k passwd_access# 监控所有 execve 系统调用（即命令执行）-a always,exit -F arch=b64 -S execve -k command_exec-a always,exit -F arch=b32 -S execve -k command_exec# 记录用户登录失败事件-w /var/log/faillog -p wa -k logins-w /var/log/lastlog -p wa -k logins  

说明：

• -w：监控指定文件或目录
• -p rwxa：r=读，w=写，x=执行，a=属性变更
• -k：为规则打上关键字标签，便于后续查询
• -a always,exit：在系统调用退出时记录

2. 动态添加规则（临时生效）

使用 auditctl 命令实时添加规则（重启后失效）：

sudo auditctl -w /etc/shadow -p rwa -k shadow_file  

第四步：查看审计日志

审计日志默认保存在 /var/log/audit/audit.log。但直接阅读原始日志较困难，建议使用工具解析：

1. 使用 ausearch 按关键字查询

# 查看所有标记为 passwd_access 的事件sudo ausearch -k passwd_access# 查看某用户的所有操作sudo ausearch -ua username  

2. 生成摘要报告（使用 aureport）

# 查看今日的登录尝试摘要sudo aureport --login --summary# 查看所有执行的命令sudo aureport -x --key command_exec  

第五步：优化与注意事项

• 日志轮转：编辑 /etc/audit/auditd.conf 配置日志大小和保留数量，避免磁盘占满。
• 性能影响：过度监控会消耗系统资源，建议只监控关键文件和行为。
• 权限控制：只有 root 用户能管理 auditd 规则，确保配置文件权限为 600。

总结

通过合理配置 RockyLinux auditd命令，你可以构建一个强大的系统行为追踪体系。无论是为了满足 Linux系统审计配置 的合规需求，还是实施 RockyLinux安全加固 策略，auditd 都是不可或缺的工具。希望本篇 auditd安全审计教程 能帮助你从零开始掌握这一关键技术。

提示：生产环境中建议结合 SELinux、firewalld 等安全模块，构建纵深防御体系。