核心是精准捕获提权与敏感动作而非所有命令,通过auditd配置sudo/su执行、权限文件修改、高危访问及远程特权行为规则,结合日志转发、实时告警、权限基线校验,实现可落地、不可绕过、防篡改的自动化审计闭环。
实施服务器操作人员权限执行的自动化行为审计,核心不是记录“所有命令”,而是精准捕获“谁在何时、以什么身份、做了哪类提权或敏感动作”。它必须可落地、不可绕过、能告警,且不依赖用户自觉或 shell 日志——那些太容易被规避或伪造。
审计范围要窄而准,避免日志爆炸和漏报:
auditd 是唯一能从系统调用层拦截真实行为的工具,比 bash history 或 syslog 可靠得多:
-a always,exit -F arch=b64 -S execve -F path=/usr/bin/sudo -k sudo_exec-w /etc/sudoers -p wa -k sudoers_mod-a always,exit -F arch=b64 -S execve -F euid!=uid -k setuid_call
sudo augenrules --load 加载,用 sudo auditctl -l 确认生效sudo id,再运行 ausearch -k sudo_exec -i | head -n1,应看到含 uid、tty、cmd 和时间的完整事件本地日志易删改,必须转发+解析+响应:
/var/log/audit/audit.log 加密转发至 SIEM 或集中日志服务器(启用 TLS)key="sudo_exec" 或 key="sudoers_mod",提取用户名、终端、命令参数,触发邮件或企业微信告警审计不是终点,要能反向验证权限分配是否合理:
sudoers 中宽泛授权(如 NOPASSWD: ALL)、禁用 shell 却有有效密码的账户、90 天未登录仍活跃的账号sudo -l -U $USER 和 getent group | grep $USER 输出当前权限快照,与岗位职责矩阵比对,发现“权限漂移”立即告警