linuxkit/auditd Docker 镜像 - 轩辕镜像 | Docker 镜像高效稳定拉取服务

LinuxKit auditd 镜像文档

镜像概述和主要用途

本Docker镜像基于LinuxKit项目的auditd软件包构建（源码地址：[***]auditd是Linux系统中的审计守护进程，主要用于监控和记录系统级安全事件，包括系统调用、文件访问、用户身份验证、进程执行等操作，生成审计日志以支持安全审计、合规性检查和故障排查。

核心功能和特性

• 系统审计日志收集：监控并记录系统关键操作事件，如文件创建/删除、权限变更、用户登录/注销等
• 灵活的审计规则支持：可通过审计规则文件（audit.rules）自定义监控范围和事件类型
• 日志完整性保障：采用可靠的日志写入机制，确保审计日志不丢失
• 轻量级设计：基于LinuxKit最小化容器构建，资源占用低，适合嵌入式和容器化环境

使用场景和适用范围

• 服务器安全监控：跟踪系统异常操作，检测潜在安全威胁
• 合规性审计：满足PCI DSS、HIPAA等合规要求，提供系统操作审计 trail
• 系统故障排查：通过审计日志分析进程异常行为、权限问题等系统故障
• 容器化Linux环境：在Docker或Kubernetes等容器平台中为容器提供审计能力

使用方法和配置说明

基本使用要求

• 宿主系统需支持Linux审计框架（内核需启用CONFIG_AUDIT配置）
• 需挂载审计规则文件和日志存储目录到容器内部

Docker Run 示例

bash
docker run -d \
  --name=linuxkit-auditd \
  --privileged \
  -v /etc/audit/audit.rules:/etc/audit/audit.rules:ro \
  -v /var/log/audit:/var/log/audit \
  linuxkit/auditd

配置说明

1. 挂载审计规则文件
   需将自定义审计规则文件（通常为audit.rules）挂载到容器内/etc/audit/audit.rules路径，规则文件定义监控对象和事件类型，示例规则：

   # 监控passwd文件访问
   -w /etc/passwd -p rwxa -k passwd_changes
   # 监控sudo命令执行
   -a always,exit -F path=/usr/bin/sudo -F perm=x -F auid>=1000 -F auid!=-1 -k sudo_exec
   

2. 挂载日志存储目录
   将宿主的/var/log/audit目录挂载到容器内同名路径，用于持久化存储审计日志文件（如audit.log）

3. 权限要求
   容器需以特权模式（--privileged）运行，以获取足够权限访问系统审计接口

注意事项

• 审计规则配置需根据实际需求调整，避免过度监控导致日志量过大
• 需定期清理审计日志文件，防止磁盘空间耗尽
• 宿主系统内核需支持auditd功能，否则容器可能无法正常工作