RockyLinux日志审计合规性配置指南（手把手教你实现系统安全与合规）

什么是日志审计？

日志审计是指记录系统中关键操作和事件的过程，包括用户登录、文件修改、权限变更、命令执行等。通过分析这些日志，管理员可以追踪异常行为、排查故障，并在发生安全事件时提供取证依据。

为什么需要在RockyLinux中启用日志审计？

• 满足国家或行业对信息系统安全的合规性要求；
• 提升系统安全性，防止未授权操作；
• 便于事后追溯与责任认定；
• 是RockyLinux安全加固的重要组成部分。

步骤一：安装 auditd 审计服务

RockyLinux 默认可能未安装审计工具，我们需要先安装 auditd 包：

sudo dnf install audit -y

步骤二：启动并启用 auditd 服务

安装完成后，启动服务并设置开机自启：

sudo systemctl start auditdsudo systemctl enable auditd

步骤三：配置审计规则（audit.rules）

审计规则定义了哪些行为需要被记录。我们编辑主配置文件 /etc/audit/rules.d/audit.rules（若不存在可创建）：

# 记录所有时间变更操作-a always,exit -F arch=b64 -S adjtimex -S settimeofday -k time_change-a always,exit -F arch=b32 -S adjtimex -S settimeofday -S stime -k time_change# 记录用户身份变更（如 su、sudo）-w /usr/bin/sudo -p x -k privilege_use-w /usr/bin/su -p x -k privilege_use# 监控敏感文件（如 /etc/passwd）-w /etc/passwd -p wa -k identity-w /etc/shadow -p wa -k identity# 记录所有失败的系统调用-a always,exit -F arch=b64 -S execve -k exec_fail# 设置日志最大大小（单位：MB）-b 8192-e 2

上述规则涵盖了常见合规要求的关键点。你可以根据实际需求增删规则。

步骤四：重载审计规则并验证

保存配置后，使用以下命令重载规则：

sudo augenrules --load

查看当前加载的规则：

sudo auditctl -l

步骤五：查看与分析审计日志

审计日志默认存储在 /var/log/audit/audit.log。你可以使用 ausearch 和 aureport 工具进行查询和生成报告：

# 查看所有与 "identity" 标签相关的事件sudo ausearch -k identity# 生成每日摘要报告sudo aureport --summary

小贴士：定期备份与日志轮转

为避免日志文件过大，建议配置 logrotate。编辑 /etc/logrotate.d/audit：

/var/log/audit/audit.log {    rotate 5    weekly    compress    missingok    notifempty    postrotate        /bin/systemctl kill -s USR1 auditd.service >/dev/null 2>&1 || true    endscript}

结语

通过以上步骤，你已经成功在 RockyLinux 中完成了基础的日志审计教程所涵盖的配置。这不仅提升了系统的安全性，也为后续通过安全合规检查打下了坚实基础。记住，RockyLinux安全加固是一个持续过程，建议定期审查审计策略并更新规则以应对新威胁。

提示：本文适用于 RockyLinux 8/9 系统。操作前请确保已备份重要数据。