Linux系统审计方法详解

本文深入剖析了Linux环境下用户操作审计的核心方法与实践陷阱，明确指出依赖/etc/profile和shell历史记录的传统方案存在su切换、非交互式shell（如cron、ssh命令执行）、exec绕过等多重致命盲区，完全无法满足生产环境的安全审计要求；而基于auditd捕获execve系统调用的方案才是唯一可靠的选择——它不依赖shell层，可完整、精准记录所有用户命令及其参数，覆盖sudo、su、crontab、脚本内执行及容器进程等全场景，并通过ausearch实现高效检索与会话级追溯；文章还强调规则持久化（需写入/etc/audit/rules.d/并使用augenrules加载）及架构适配（b64/b32双模式）等关键细节，直击运维人员在真实环境中常踩的配置坑与理解断层，为构建高保真、无遗漏的操作审计体系提供了可落地的技术路径。

auditd 能完整记录用户执行的命令（含参数），但默认不开启；直接改 /etc/profile 记录命令历史有严重盲区，比如 su 切换后、非交互式 shell、exec 绕过等场景全漏掉。

用 auditd 捕获 execve 系统调用（含参数）

这是最可靠的方式，因为所有命令执行最终都经过 execve 系统调用。它不依赖 shell，能覆盖 su、sudo、crontab、脚本内命令等场景。

• sudo auditctl -a always,exit -F arch=b64 -S execve（x86_64 系统必须加 -F arch=b64，否则规则无效）
• sudo auditctl -a always,exit -F arch=b32 -S execve（兼容 32 位程序，如部分容器内进程）
• 规则生效后，所有命令都会被记录到 /var/log/audit/audit.log，包括完整参数（如 rm -rf /tmp/test）
• 注意：不要只加 -F uid!=0 这类过滤，ausearch 查的时候再过滤更安全，避免规则加载失败导致漏记

为什么不能只靠 /etc/profile + history 记录？

这种方案看似简单，实际在生产环境几乎不可用——它只捕获当前 shell 的 HISTFILE 写入行为，而大量操作根本不会触发该机制。

• su 或 sudo -i 切换用户后，新 shell 的 history 不会自动写入原用户的 history 文件
• 非交互式 shell（如 ssh user@host 'ls'、cron job）完全不读取 /etc/profile
• 攻击者执行 unset HISTFILE; ls 或直接调用 /bin/ls 可绕过所有 history 控制
• 多个终端并行时，history 时间戳混乱，且无法关联到具体 tty 或登录会话 ID

查某用户最近执行了哪些命令？用 ausearch 精准过滤

别直接 cat /var/log/audit/audit.log，原始日志字段密集、无结构。用 ausearch 才能快速定位。

• 查用户 john 的全部命令：sudo ausearch -u john -m execve --raw | aureport -f -i
• 查某次登录会话（比如 tty1）的所有操作：sudo ausearch -ts recent -m event --session 12345（session ID 可从 loginuid 字段或 last 命令获取）
• 查带敏感参数的命令（如含 passwd）：sudo ausearch -m execve | grep -i passwd（注意：grep 是对文本流操作，不是审计层过滤）
• 注意：ausearch -sc EXECVE 是简写，但不如显式写 -m execve 稳定，某些 auditd 版本不识别大写 EXECVE

auditd 规则要持久化，否则重启就失效

auditctl 添加的规则只存在于内存，系统重启或 auditd 重载后清空。必须写入规则文件才能长期生效。

• 把规则写进 /etc/audit/rules.d/execve.rules（文件名任意，但需以 .rules 结尾）
• 内容示例：-a always,exit -F arch=b64 -S execve
• 执行 sudo augenrules --load 加载（它会合并 /etc/audit/rules.d/ 下所有规则，生成 /etc/audit/audit.rules 并通知 auditd）
• 验证是否生效：sudo auditctl -l | grep execve，看到规则即表示已加载
• 注意：不要手动编辑 /etc/audit/audit.rules，它会被 augenrules 覆盖；所有自定义规则必须放在 /etc/audit/rules.d/ 下

真正难的不是加一条 auditctl 命令，而是理解每条规则背后触发的系统调用路径、架构差异和 session 生命周期——漏掉任何一个环节，审计日志就出现断层。

理论要掌握，实操不能落！以上关于《Linux系统审计方法详解》的详细介绍，大家都掌握了吧！如果想要继续提升自己的能力，那么就来关注golang学习网公众号吧！