Linux安全基线-审计配置9小项

1.确保收集了系统管理员操作（sudolog）
监视sudo日志文件。如果系统已正确配置为禁用该su命令，并强制所有管理员必须先登录然后sudo才能执行特权命令，则所有管理员命令都将登录到/var/log/sudo.log。每当执行命令时，审计事件都会触发，并且已执行的管理命令将被写入日志。
将以下行添加到/etc/audit/rules.d/audit.rules文件中：
-w /var/log/sudo.log -p wa -k actions
执行上述操作后，请重启audit服务：
# service auditd restart

2.确保收集了登录和注销事件
监视登录和注销事件。跟踪与登录/注销事件关联的文件的更改。该文件/var/log/lastlog保留用户最后一次成功登录的记录。该/var/run/failock 目录保留通过pam_faillock 模块登录失败的记录。
将以下行添加到/etc/audit/rules.d/audit.rules文件中：
-w /var/log/lastlog -p wa -k logins
-w /var/run/faillock/ -p wa -k logins
执行上述操作后，请重启audit服务：
# service auditd restart

3.确保收集了会话启动信息
监视会话启动事件。跟踪与会话事件关联的文件的更改。该文件/var/run/utmp跟踪所有当前登录的用户。所有审核记录都将标记有标识符“会话”。/var/log/wtmp文件跟踪登录，注销，关闭和重新启动事件。
将以下行添加到/etc/audit/rules.d/audit.rules文件中：
-w /var/run/utmp -p wa -k session
-w /var/log/wtmp -p wa -k logi