从0到1掌握safeguardLinux系统安全审计完整配置指南【免费下载链接】safeguardLinux security audit, control, and behavior analysis tools based on KRSI(eBPFLSM)项目地址: https://gitcode.com/openeuler/safeguard前往项目官网免费下载https://ar.openeuler.org/ar/想要为你的Linux系统构建企业级的安全防护体系吗openEuler safeguard项目基于KRSI(eBPFLSM)技术为你提供了一套完整的Linux安全审计、控制和行为分析工具。本文将为你提供从零开始的完整配置指南帮助你快速掌握这个强大的Linux安全审计工具 什么是safeguardsafeguard是一个基于eBPF的Linux安全审计观测工具可以实现安全操作的拦截及审计记录。它采用libbpfgo库使用Go语言实现顶层控制为Linux系统提供全方位的安全防护能力。核心功能特性审计记录配置范围内的网络、文件、挂载和进程事件控制支持网络访问、文件访问、挂载和进程执行限制策略支持monitor/block模式以及host/container作用范围白名单通过controller采集主机状态并生成白名单配置 系统要求与环境准备内核要求要使用safeguard你的Linux内核必须满足以下条件内核版本 5.13.0BTF支持(CONFIG_DEBUG_INFO_BTF) 必须启用BPF LSM支持(CONFIG_BPF_LSM) 必须启用LSM列表必须包含bpf检查内核配置# 检查内核配置 zgrep -E CONFIG_BPF_LSM|CONFIG_DEBUG_INFO_BTF /proc/config.gz || \ grep -E CONFIG_BPF_LSM|CONFIG_DEBUG_INFO_BTF /boot/config-$(uname -r)配置LSM启动参数编辑GRUB配置文件确保LSM列表包含bpfsudo vi /etc/default/grub # 在GRUB_CMDLINE_LINUX中添加 lsm...,bpf GRUB_CMDLINE_LINUX... lsmlockdown,yama,apparmor,bpf更新GRUB配置并重启sudo update-grub sudo reboot重启后验证cat /sys/kernel/security/lsm 快速安装safeguard方法一从源码编译安装# 克隆项目 git clone --recursive https://gitcode.com/openeuler/safeguard.git cd safeguard # 构建依赖 make libbpf-static # 编译safeguard make build # 验证编译结果 ls -la build/safeguard方法二使用Vagrant开发环境如果你不想在主机上配置环境可以使用Vagrantvagrant up vagrant reload vagrant ssh # 在虚拟机内执行编译 make libbpf-static make build 核心架构解析safeguard的架构基于eBPF技术栈分为以下几个核心组件用户空间程序Go语言编写的控制层负责配置管理和策略下发eBPF程序运行在内核空间的安全监控逻辑LSM钩子通过Linux安全模块接口实现安全策略执行配置管理YAML格式的策略配置文件 基础配置指南1. 创建配置文件创建你的第一个配置文件my-security.ymlnetwork: enable: true mode: block target: host cidr: allow: - 0.0.0.0/0 domain: deny: - malicious-site.com - suspicious-domain.org command: allow: - systemd-resolved - curl - safeguard files: enable: true mode: block target: host allow: - / deny: - /etc/passwd - /etc/shadow - /root/.ssh/ mount: enable: true mode: block target: host deny: - /dev/vdxn process: enable: false mode: monitor target: host log: level: info format: json2. 配置文件详解网络配置 (network)enable: true/false启用/禁用网络限制mode: monitor/block监控模式或拦截模式target: host/container作用范围主机或容器cidr.allow/deny允许/拒绝的CIDR地址段domain.allow/deny允许/拒绝的域名command.allow/deny允许/拒绝的命令文件配置 (files)allow允许访问的文件路径支持通配符deny拒绝访问的敏感文件挂载配置 (mount)防止未经授权的设备挂载操作进程配置 (process)监控或限制特定进程的执行️ 实战配置示例示例1基础安全防护# basic-security.yml network: enable: true mode: block target: host cidr: allow: - 10.0.0.0/8 - 192.168.0.0/16 domain: deny: - *.malware.com - *.phishing.site files: enable: true mode: block target: host deny: - /etc/passwd - /etc/shadow - /root/.* - /home/*/.ssh/id_rsa示例2容器环境配置# container-security.yml network: enable: true mode: block target: container cidr: allow: - 172.17.0.0/16 # Docker默认网络 command: allow: - nginx - php-fpm - mysql files: enable: true mode: block target: container allow: - /var/www/html/* - /tmp/*示例3监控模式配置# monitor-mode.yml network: enable: true mode: monitor # 仅监控不拦截 target: host files: enable: true mode: monitor target: host log: level: debug format: json output: /var/log/safeguard/audit.log 白名单策略配置safeguard的强大功能之一是自动生成白名单配置生成白名单配置# 生成当前系统的白名单配置 sudo ./build/safeguard controller generate \ --output whitelist.yaml \ --report system-report.json白名单配置示例policy: whitelist # 白名单模式默认拒绝所有 network: enable: true mode: block cidr: allow: - 127.0.0.1/8 - 10.0.0.0/8 deny: [] process: enable: true mode: block allow: - bash - python3 - systemd - sshd应用白名单配置sudo ./build/safeguard --config whitelist.yaml 监控与日志分析日志格式说明safeguard支持JSON格式的日志输出便于集成到ELK等日志分析系统{ timestamp: 2024-01-15T10:30:45Z, event_type: file_access, action: blocked, path: /etc/passwd, process: cat, pid: 12345, uid: 1000, gid: 1000, mode: read }实时监控命令# 查看实时安全事件 sudo journalctl -u safeguard -f # 查看详细日志 sudo tail -f /var/log/safeguard/audit.log 故障排除与调试常见问题解决权限问题# 确保以root权限运行 sudo ./build/safeguard --config your-config.yml内核模块加载失败# 检查内核配置 cat /sys/kernel/security/lsm | grep bpf # 检查BPF支持 ls /sys/fs/bpf/配置文件错误# 验证YAML语法 yamllint your-config.yml # 测试配置文件 sudo ./build/safeguard --config your-config.yml --dry-run调试模式# 启用调试日志 sudo ./build/safeguard --config your-config.yml --log-level debug 高级配置技巧1. 动态策略更新safeguard支持运行时策略更新# 使用bpftool更新策略 sudo bpftool map update pinned /sys/fs/bpf/file_config \ key 00 00 00 00 \ value 01 00 00 00 00 00 00 002. 容器特定配置针对Docker容器的安全配置network: enable: true mode: block target: container cidr: allow: - 172.17.0.0/16 command: allow: - nginx - php-fpm deny: - wget - curl3. 用户/组级别控制network: enable: true mode: block uid: allow: - 0 # root - 1000 # 普通用户 gid: deny: - 666 # 可疑组ID 性能优化建议1. 选择性启用模块只启用需要的安全模块# 仅启用网络和文件监控 network: enable: true mode: monitor files: enable: true mode: monitor # 禁用不需要的模块 mount: enable: false process: enable: false2. 优化日志级别生产环境建议使用info级别log: level: info # 生产环境 # level: debug # 调试环境 format: json output: /var/log/safeguard/audit.log3. 定期清理日志# 设置日志轮转 sudo vi /etc/logrotate.d/safeguard # 内容示例 /var/log/safeguard/*.log { daily rotate 7 compress delaycompress missingok notifempty create 640 root root } 集成与自动化与CI/CD集成# .gitlab-ci.yml 示例 security_audit: stage: test script: - make libbpf-static - make build - sudo ./build/safeguard controller generate --output whitelist.yaml - sudo ./build/safeguard --config whitelist.yaml --dry-run artifacts: paths: - whitelist.yaml监控告警配置# Prometheus监控配置 - job_name: safeguard static_configs: - targets: [localhost:9091] # Alertmanager告警规则 groups: - name: safeguard_alerts rules: - alert: HighBlockRate expr: rate(safeguard_blocks_total[5m]) 10 for: 2m labels: severity: warning annotations: summary: High block rate detected 最佳实践总结渐进式部署先从monitor模式开始观察日志后再切换到block模式白名单优先使用controller生成白名单实现最小权限原则定期审计定期检查安全日志分析异常行为模式版本控制将配置文件纳入版本控制系统备份策略定期备份白名单配置和审计日志 学习资源官方文档docs/index.md配置指南docs/configuration/API参考docs/api-reference.md故障排除docs/troubleshooting.md 开始你的安全之旅通过本指南你已经掌握了safeguard从安装到配置的完整流程。记住安全是一个持续的过程而不是一次性的任务。从简单的监控开始逐步建立完善的安全策略让你的Linux系统更加安全可靠下一步行动建议在测试环境中部署safeguard从监控模式开始观察系统行为使用controller生成白名单配置逐步实施拦截策略建立定期审计机制祝你配置顺利系统安全【免费下载链接】safeguardLinux security audit, control, and behavior analysis tools based on KRSI(eBPFLSM)项目地址: https://gitcode.com/openeuler/safeguard创作声明：本文部分内容由AI辅助生成（AIGC），仅供参考