RockyLinux文件共享审计配置（手把手教你设置安全可靠的文件共享审计机制）

一、什么是文件共享审计？

文件共享审计是指对系统中被共享的文件或目录进行访问行为的记录和监控。例如：用户A读取了某个财务报表，用户B修改了项目文档等操作都会被记录下来。这些日志可用于安全分析、合规检查或事故回溯。

二、准备工作

本教程基于 RockyLinux 8 或 9 系统，假设你已安装并启用了 Samba 或 NFS 等文件共享服务。我们将使用 Linux 内核自带的 auditd 审计框架来实现文件访问监控。

三、安装 auditd 服务

首先，确保系统已安装 audit 工具包：

# 安装 audit 包sudo dnf install audit -y# 启动并设置开机自启sudo systemctl enable --now auditd# 检查服务状态sudo systemctl status auditd  

四、配置文件共享审计规则

假设你的文件共享目录为 /srv/shared，我们希望监控该目录下所有文件的读取（read）、写入（write）、执行（execute）和属性变更（attribute change）操作。

使用 auditctl 命令添加实时规则（重启后失效）：

sudo auditctl -w /srv/shared/ -p rwxa -k shared_files_audit  

参数说明：

• -w：指定要监控的路径
• -p rwxa：r=读，w=写，x=执行，a=属性变更
• -k shared_files_audit：为规则打上关键字标签，便于后续查询

为了让规则在系统重启后依然生效，需将其写入配置文件：

echo "-w /srv/shared/ -p rwxa -k shared_files_audit" | sudo tee -a /etc/audit/rules.d/audit.rules  

五、查看审计日志

当有用户访问 /srv/shared 目录中的文件时，审计事件会被记录到 /var/log/audit/audit.log 中。

使用 ausearch 命令按关键字查询日志：

# 查看所有与 shared_files_audit 相关的记录sudo ausearch -k shared_files_audit  

你也可以使用 ausearch -f /srv/shared/example.txt 来查看特定文件的访问记录。

六、增强 Linux安全审计配置

为了提升安全性，建议：

• 定期轮转审计日志（可配置 /etc/audit/auditd.conf）
• 限制 audit.log 的访问权限，仅允许 root 查看
• 结合 logrotate 实现日志自动归档

七、常见问题排查

Q：为什么没有看到日志记录？
A：请确认：
1. auditd 服务正在运行
2. 共享目录路径正确且存在
3. 用户确实触发了 r/w/x/a 操作（例如用 cat 读取文件会触发 read）

Q：如何监控多个目录？
A：重复执行 auditctl -w 命令，或在 /etc/audit/rules.d/audit.rules 中添加多行规则。

八、总结

通过以上步骤，你已经成功在 RockyLinux 上配置了文件访问日志监控机制。这不仅满足了基本的安全需求，也为后续的RockyLinux系统安全加固打下了坚实基础。建议定期审查审计日志，及时发现异常行为，保护企业核心数据资产。

掌握 RockyLinux文件共享审计 和 Linux安全审计配置，是你迈向专业系统管理员的重要一步！