Linux 操作审计：使用 Shell 的高级技巧

引言

在当今复杂的网络威胁格局中，对 Linux 操作进行全面的审计至关重要。通过监视用户活动、系统事件和应用程序行为，组织可以及早发现安全漏洞并防止违规行为。本文将深入探究一种利用 Shell 脚本的高级技术，以增强 Linux 操作审计能力。

利用 Bashrc 进行日志审计

Bashrc 是一个 Bash Shell 脚本，用于在用户登录时自动执行。通过修改此脚本，我们可以添加自定义命令来扩展 Linux 的原生日志记录功能。例如，我们可以将以下命令添加到 ~/.bashrc 文件中，以在用户执行任何命令时记录时间戳、用户名和命令本身：

logger -p local0.notice "$(date) [$(whoami)] $(history 1 | awk '{print $2}')"

此命令使用 logger 实用程序将日志消息发送到系统日志，优先级设置为 local0.notice。这样，所有命令执行都会被记录，以便以后进行分析。

使用 Rsyslog 聚合日志

Rsyslog 是一个功能强大的日志聚合工具，可用于从各种来源收集和处理日志消息。通过将 rsyslog 配置为从 Bash 审计脚本接收日志消息，我们可以将它们集中到一个位置进行集中分析。以下 rsyslog 配置将接收来自优先级为 local0.notice 的日志消息并将其转发到名为“audit.log”的文件：

# /etc/rsyslog.conf

module(load="imudp")
input(type="imudp" port="514")

template(name="Audit" type="string" string="%timestamp:::date-rfc3339% [%HOSTNAME%] [%syslogseverity-text%]: %msg%\n")

:msg, contains, "local0.notice" /var/log/audit.log;Audit

将日志存储和查询 Elasticsearch

Elasticsearch 是一个分布式搜索和分析引擎，非常适合存储和查询大容量日志数据。通过将 rsyslog 配置为将日志消息转发到 Elasticsearch 索引，我们可以利用 Elasticsearch 强大的搜索和聚合功能对审计数据进行深入分析。以下 rsyslog 配置将使用 Elasticsearch 输出模块将日志消息发送到名为“linux_audit”的索引：

# /etc/rsyslog.conf

module(load="omelasticsearch")
output(type="omelasticsearch" server="localhost" port="9200" index="linux_audit")

:msg, contains, "local0.notice" @@localhost:9200;omelasticsearch

分析审计数据

一旦日志数据存储在 Elasticsearch 中，我们就可以使用 Kibana 等工具对数据进行可视化和分析。通过创建自定义仪表板和图表，我们可以轻松识别趋势、异常和潜在的安全事件。例如，我们可以创建仪表板以显示过去 24 小时内执行的最常见命令，或按用户名分组显示命令执行次数。

结论

通过将 Bash 脚本、rsyslog 和 Elasticsearch 结合使用，我们可以显着增强 Linux 操作审计功能。这种高级技术使我们能够记录所有用户操作、集中日志并利用 Elasticsearch 的分析功能深入了解系统活动。通过定期审查和分析审计数据，安全团队可以及早发现可疑行为并采取措施防止安全漏洞。