CentOS文件共享审计（手把手教你实现Linux文件共享安全与访问监控）

二、准备工作：安装auditd服务

CentOS默认未安装审计工具，我们需要先安装 auditd 守护进程：

sudo yum install -y auditsudo systemctl enable auditdsudo systemctl start auditd  

安装完成后，auditd 就会持续记录系统事件。

三、配置文件共享审计规则

假设我们的共享目录为 /srv/shared，我们希望监控该目录下的所有读取（read）、写入（write）、执行（execute）和属性修改（attribute change）操作。

使用 auditctl 命令添加监控规则：

sudo auditctl -w /srv/shared -p rwxa -k shared_files_audit  

参数说明：

• -w /srv/shared：指定要监控的路径
• -p rwxa：r=读，w=写，x=执行，a=属性变更
• -k shared_files_audit：为该规则打上关键字标签，便于后续查询

为了确保系统重启后规则依然生效，需将规则写入配置文件：

echo "-w /srv/shared -p rwxa -k shared_files_audit" | sudo tee -a /etc/audit/rules.d/audit.rules  

四、查看审计日志

当有用户访问共享目录时，审计日志会自动记录。使用以下命令按关键字查询：

sudo ausearch -k shared_files_audit  

输出示例（简化）：

type=PROCTITLE msg=audit(1712345678.123:456):  proctitle=2F7573722F62696E2F6370002F686F6D652F757365722F66696C652E747874002F7372762F7368617265642F type=PATH msg=audit(1712345678.123:456):  item=1 name="/srv/shared/report.txt" inode=123456 dev=fd:00 mode=0100644  ouid=1001 ogid=1001 rdev=00:00 nametype=NORMAL cap_fp=0 cap_fi=0 cap_fe=0 cap_fver=0 type=CWD msg=audit(1712345678.123:456): cwd="/home/user" type=SYSCALL msg=audit(1712345678.123:456):  arch=c000003e syscall=257 success=yes exit=3 a0=ffffff9c a1=55d3b2e1a010 a2=241 a3=1b6  items=2 ppid=1234 pid=5678 auid=1001 uid=1001 gid=1001 euid=1001 suid=1001 fsuid=1001 egid=1001 sgid=1001 fsgid=1001 tty=pts0 comm="cp" exe="/usr/bin/cp" key="shared_files_audit"  

从日志中可以看到：用户ID 1001（可通过 id -un 1001 查用户名）执行了 cp 命令，将文件复制到 /srv/shared/ 目录下。

五、定期清理与日志管理

审计日志会不断增长，建议配置日志轮转。编辑 /etc/audit/auditd.conf：

max_log_file = 50num_logs = 5space_left = 75action_mail_acct = rootadmin_space_left = 50admin_space_left_action = SUSPEND  

以上配置表示：单个日志最大50MB，保留5个旧日志，磁盘空间不足时发送邮件通知root。

六、总结

通过本教程，您已掌握如何在CentOS系统中实现文件访问审计教程的核心步骤。结合Samba/NFS共享服务，这套机制能显著提升CentOS系统日志监控能力，为您的数据安全保驾护航。

提示：生产环境中建议配合SELinux、防火墙及定期备份策略，构建纵深防御体系。