RockyLinux监控安全配置方法（从零开始构建企业级安全防护体系）

一、启用并配置系统日志审计（auditd）

系统日志审计是RockyLinux安全监控的第一道防线，它能记录所有关键系统调用和文件访问行为。

步骤1：安装auditd

sudo dnf install audit -ysudo systemctl enable --now auditd

步骤2：配置审计规则

编辑配置文件 /etc/audit/rules.d/audit.rules，添加以下规则：

# 监控敏感文件-w /etc/passwd -p wa -k identity-w /etc/shadow -p wa -k identity-w /etc/sudoers -p wa -k priv_esc# 监控登录失败-w /var/log/faillog -p wa -k logins-w /var/log/lastlog -p wa -k logins# 监控系统时间变更-a always,exit -F arch=b64 -S adjtimex -S settimeofday -k time_change-a always,exit -F arch=b32 -S adjtimex -S settimeofday -S stime -k time_change

保存后重启服务：sudo systemctl restart auditd。你可以使用 sudo ausearch -k identity 查看相关日志。

二、强化SELinux策略

SELinux配置是RockyLinux的核心安全机制，它通过强制访问控制（MAC）限制进程权限。

首先确认SELinux处于enforcing模式：

getenforce

如果返回“Permissive”或“Disabled”，请编辑 /etc/selinux/config 文件，设置 SELINUX=enforcing，然后重启系统。

日常管理中，若遇到服务被SELinux阻止，可使用以下命令排查：

# 查看最近拒绝事件sudo ausearch -m avc -ts recent# 生成临时策略允许特定行为（谨慎使用）sudo audit2allow -a -M mypolicysudo semodule -i mypolicy.pp

三、部署入侵检测工具（AIDE）

AIDE（Advanced Intrusion Detection Environment）可监控文件完整性，是入侵检测工具中的经典选择。

安装与初始化

sudo dnf install aide -ysudo aide --initsudo mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

定期检查（建议加入cron）

# 每天凌晨2点执行检查0 2 * * * /usr/sbin/aide --check

若系统文件被篡改，AIDE会输出详细差异报告。

四、集中化日志管理（可选进阶）

对于多台服务器环境，建议配置rsyslog将日志发送到中央日志服务器，便于统一分析和长期存储。这属于系统日志审计的高级实践。

编辑 /etc/rsyslog.conf，取消注释以下行以启用TCP日志传输：

$ModLoad imtcp$InputTCPServerRun 514

然后在客户端配置日志转发：

*.* @@your-log-server-ip:514

总结

通过以上四个步骤，你已经为RockyLinux搭建了一套基础但有效的安全监控体系。记住，安全不是一次性的配置，而是持续的过程。定期审查日志、更新规则、测试恢复流程，才能真正保障系统安全。

关键词回顾：RockyLinux安全监控、系统日志审计、SELinux配置、入侵检测工具——这些是你构建安全基础设施的核心要素。