当前位置：首页 > RockyLinux > 正文

RockyLinux安全监控告警设置（手把手教你配置系统安全告警与日志监控）

主机测评网
RockyLinux
2025-12-12
464

在当今网络环境中，服务器安全至关重要。作为 CentOS 的继任者，RockyLinux 因其稳定性和兼容性被广泛用于企业生产环境。本文将为 Linux 新手详细讲解如何在 RockyLinux 上设置安全监控告警，帮助你及时发现异常行为、防止入侵，并提升整体系统安全性。

RockyLinux安全监控告警设置（手把手教你配置系统安全告警与日志监控） RockyLinux安全监控系统告警设置 Linux安全加固 RockyLinux日志分析第1张

一、为什么需要安全监控告警？

安全监控不仅能记录系统活动，还能在发生可疑行为（如多次登录失败、异常进程启动、关键文件被修改等）时及时通知管理员。通过合理配置RockyLinux安全监控和系统告警设置，你可以：

实时掌握服务器状态
快速响应潜在攻击
满足合规审计要求
实现自动化运维

二、准备工作：更新系统并安装必要工具

首先，确保你的 RockyLinux 系统是最新的，并安装基础安全工具：

# 更新系统sudo dnf update -y# 安装常用安全工具sudo dnf install -y auditd fail2ban rsyslog mailx

三、配置 Auditd 进行系统调用监控

auditd 是 Linux 内核审计框架的用户空间组件，可记录关键系统事件。我们用它来监控敏感文件（如 /etc/passwd）的访问或修改。

启用并启动 auditd 服务：

sudo systemctl enable --now auditd

编辑审计规则文件 /etc/audit/rules.d/monitor.rules，添加以下内容：

# 监控关键系统文件-w /etc/passwd -p wa -k identity-w /etc/shadow -p wa -k identity-w /etc/sudoers -p wa -k priv_esc# 监控命令执行（如 rm、chmod）-a always,exit -F arch=b64 -S execve -k exec

加载规则并重启服务：

sudo augenrules --loadsudo systemctl restart auditd

四、使用 Fail2Ban 防止暴力破解

fail2ban 可自动封禁多次尝试登录失败的 IP 地址，是Linux安全加固的重要一环。

启动并启用服务：

sudo systemctl enable --now fail2ban

创建本地配置文件 /etc/fail2ban/jail.local：

[sshd]enabled = trueport = sshlogpath = /var/log/securemaxretry = 3bantime = 3600findtime = 600

重启 Fail2Ban 使配置生效：

sudo systemctl restart fail2ban

五、配置邮件告警通知

为了让系统在触发安全事件时主动通知你，我们需要配置邮件告警。这里以 mailx + 外部 SMTP（如 Gmail 或企业邮箱）为例。

编辑 /etc/mail.rc，添加 SMTP 设置（以 Gmail 为例）：

set smtp=smtps://smtp.gmail.com:465set smtp-auth=loginset smtp-auth-user=your_email@gmail.comset smtp-auth-password=your_app_passwordset ssl-verify=ignoreset from="your_email@gmail.com(RockyLinux Server)"

测试邮件是否能发送成功：

echo "测试告警邮件" | mail -s "[ALERT] RockyLinux 安全测试" admin@yourcompany.com

六、结合日志分析实现智能告警

通过 rsyslog 集中管理日志，并编写简单脚本定期扫描异常。例如，监控 SSH 登录失败次数：

#!/bin/bash# 文件：/usr/local/bin/check_ssh_fail.shTHRESHOLD=5COUNT=$(grep "Failed password" /var/log/secure | tail -100 | wc -l)if [ $COUNT -gt $THRESHOLD ]; then  echo "发现 $COUNT 次 SSH 登录失败！可能正在遭受暴力破解。" | \  mail -s "[SECURITY ALERT] SSH 暴力破解警告" admin@yourcompany.comfi

赋予执行权限并添加到 crontab 每5分钟检查一次：

chmod +x /usr/local/bin/check_ssh_fail.sh# 编辑定时任务crontab -e# 添加以下行*/5 * * * * /usr/local/bin/check_ssh_fail.sh

七、总结

通过以上步骤，你已经完成了基本的 RockyLinux安全监控 和 系统告警设置。这些措施能有效提升服务器的安全防护能力，实现对异常行为的快速响应。建议定期审查日志、更新规则，并结合更高级的 SIEM 工具（如 ELK 或 Wazuh）进行 RockyLinux日志分析，进一步强化 Linux安全加固体系。

提示：生产环境中请使用应用专用密码（App Password）而非主账户密码，并确保防火墙规则允许出站 SMTP 流量。