删除用户后,如何通过deluser审计机制确保系统安全不被破坏?
- 内容介绍
- 文章标签
- 相关推荐
前言:在系统中删除用户是一场细腻的艺术
每一次用deluser把一个账号从服务器里抹去, 都像是春天里拔掉一株杂草,却又要确保土壤依旧肥沃、雨水依旧甘甜。系统平安不是一瞬间的奇迹,而是日复一日、点滴积累的后来啊。 摆烂。 正如古人说“多生孩子, 多种树”,我们在技术上也要兼顾繁荣与守护,让每个新建用户都有成长的空间,一边让每一次离别都留下清晰可追溯的足迹。
1. 为什么要审计deluser操作?
审计不是为了找茬,而是为了让系统在风雨中屹立不倒。若没有记录:,调整一下。
- 管理员可能忘记已经删除了哪些账户,导致权限残留。
- 合规检查时缺少凭据,影响组织声誉。
得了吧... 所以 把deluser这把“剪刀”放进审计框架,就像给花园装上摄像头——既能防止偷窃,也能捕捉美好瞬间。
2. 基础准备:开启系统审计服务
Ubuntu 系统默认自带服务, 只要稍作配置,就能让它悄悄记录下所有用户删除事件。
# 安装 auditd 及相关插件
sudo apt-get update
sudo apt-get install -y auditd audispd-plugins
# 启动并设为开机自启
sudo systemctl enable auditd
sudo systemctl start auditd
3. 配置捕获deluser
3.1 添加审计规则
打开规则文件, 加入两条针对 32 位和 64 位体系结构的监控指令:,太治愈了。
# nano /etc/audit/audit.rules
-a always,exit -F arch=b32 -S deluser -k user_deletion
-a always,exit -F arch=b64 -S deluser -k user_deletion
保存后重启服务:
# systemctl restart auditd
3.2 验证规则是否生效
施行一次测试删除:
# sudo adduser testtemp --gecos "" --disabled-password
# sudo deluser testtemp
# sudo ausearch -k user_deletion
如果看到类似下面的信息,就说明审计已经上路了:
type=SYSCALL msg=audit: arch=c000003e syscall=330 success=yes exit=0 a0=... comm="deluser" exe="/usr/sbin/deluser" key="user_deletion"
4. 确认:/etc/passwd 与 /etc/shadow 的清理情况
重要提示:即使记录了删除动作,也要手动核实系统核心文件是否真的干净。 补救一下。 以下命令可以快速检查:
# grep 'username' /etc/passwd || echo "未找到"
# grep 'username' /etc/shadow || echo "未找到"
5. 使用 last 命令回顾登录轨迹
last 能帮助我们了解被删用户最近一次登录时间、 冲鸭! 来源 IP 等信息,为事后分析提供线索。
# sudo last | grep 'username'
6. 审计工具对比表——挑选最适合你的伙伴
| 工具名称 | 开源/商业 | 核心功能亮点 | 资源占用 | 适用场景 |
|---|---|---|---|---|
| auditd | 开源免费 | - 系统调用级别监控 - 自定义规则灵活 - 与 SELinux 集成良好 | 低 | - 所有 Linux 环境 - 合规审计 |
| Lynis | 开源免费/付费版 | - 主机硬化检查 - 自动生成报告 - 支持插件 | 中 | - 中小型服务器 - 定期平安评估 |
| AIDE | 开源免费 | - 文件指纹比对 - 改动报警 - 支持加密散列 | 低 | - 对关键配置文件敏感场景 |
| Splunk | 商业付费 | - 实时大数据搜索 - 可视化仪表盘 - 强大的告警机制 | 高 | - 大规模企业环境 - 多业务日志统一管理 |
| OSSEC | 开源免费 / 商业支持 | - 日志收集 + 实时规则引擎 - 主动阻断恶意行为 - 跨平台支持 | 中 | - 中大型混合环境 - 需要一定运维投入 |
前言:在系统中删除用户是一场细腻的艺术
每一次用deluser把一个账号从服务器里抹去, 都像是春天里拔掉一株杂草,却又要确保土壤依旧肥沃、雨水依旧甘甜。系统平安不是一瞬间的奇迹,而是日复一日、点滴积累的后来啊。 摆烂。 正如古人说“多生孩子, 多种树”,我们在技术上也要兼顾繁荣与守护,让每个新建用户都有成长的空间,一边让每一次离别都留下清晰可追溯的足迹。
1. 为什么要审计deluser操作?
审计不是为了找茬,而是为了让系统在风雨中屹立不倒。若没有记录:,调整一下。
- 管理员可能忘记已经删除了哪些账户,导致权限残留。
- 合规检查时缺少凭据,影响组织声誉。
得了吧... 所以 把deluser这把“剪刀”放进审计框架,就像给花园装上摄像头——既能防止偷窃,也能捕捉美好瞬间。
2. 基础准备:开启系统审计服务
Ubuntu 系统默认自带服务, 只要稍作配置,就能让它悄悄记录下所有用户删除事件。
# 安装 auditd 及相关插件
sudo apt-get update
sudo apt-get install -y auditd audispd-plugins
# 启动并设为开机自启
sudo systemctl enable auditd
sudo systemctl start auditd
3. 配置捕获deluser
3.1 添加审计规则
打开规则文件, 加入两条针对 32 位和 64 位体系结构的监控指令:,太治愈了。
# nano /etc/audit/audit.rules
-a always,exit -F arch=b32 -S deluser -k user_deletion
-a always,exit -F arch=b64 -S deluser -k user_deletion
保存后重启服务:
# systemctl restart auditd
3.2 验证规则是否生效
施行一次测试删除:
# sudo adduser testtemp --gecos "" --disabled-password
# sudo deluser testtemp
# sudo ausearch -k user_deletion
如果看到类似下面的信息,就说明审计已经上路了:
type=SYSCALL msg=audit: arch=c000003e syscall=330 success=yes exit=0 a0=... comm="deluser" exe="/usr/sbin/deluser" key="user_deletion"
4. 确认:/etc/passwd 与 /etc/shadow 的清理情况
重要提示:即使记录了删除动作,也要手动核实系统核心文件是否真的干净。 补救一下。 以下命令可以快速检查:
# grep 'username' /etc/passwd || echo "未找到"
# grep 'username' /etc/shadow || echo "未找到"
5. 使用 last 命令回顾登录轨迹
last 能帮助我们了解被删用户最近一次登录时间、 冲鸭! 来源 IP 等信息,为事后分析提供线索。
# sudo last | grep 'username'
6. 审计工具对比表——挑选最适合你的伙伴
| 工具名称 | 开源/商业 | 核心功能亮点 | 资源占用 | 适用场景 |
|---|---|---|---|---|
| auditd | 开源免费 | - 系统调用级别监控 - 自定义规则灵活 - 与 SELinux 集成良好 | 低 | - 所有 Linux 环境 - 合规审计 |
| Lynis | 开源免费/付费版 | - 主机硬化检查 - 自动生成报告 - 支持插件 | 中 | - 中小型服务器 - 定期平安评估 |
| AIDE | 开源免费 | - 文件指纹比对 - 改动报警 - 支持加密散列 | 低 | - 对关键配置文件敏感场景 |
| Splunk | 商业付费 | - 实时大数据搜索 - 可视化仪表盘 - 强大的告警机制 | 高 | - 大规模企业环境 - 多业务日志统一管理 |
| OSSEC | 开源免费 / 商业支持 | - 日志收集 + 实时规则引擎 - 主动阻断恶意行为 - 跨平台支持 | 中 | - 中大型混合环境 - 需要一定运维投入 |