如何为nfs共享文件系统启用审计?

最新推荐文章于 2023-02-28 19:19:37 发布
最新推荐文章于 2023-02-28 19:19:37 发布
阅读量417 收藏
点赞数
分类专栏: 杂记 文章标签: linux 服务器 运维
原文链接:https://access.redhat.com/solutions/2144381
版权

SOLUTION 已验证 - 已更新 2017年十一月29日20:08 -

原文地址:https://access.redhat.com/solutions/2144381

环境

  • Red Hat Enterprise Linux 5, 6, 7
  • NFS

问题

  • 通过nfs共享的一个目录已从主机中删除。
  • 那么,如何为通过nfs共享的文件系统启用审计?
  • 我们可以在nfs服务器上配置审核规则吗?
  • 是否可以配置nfs服务器的审计规则,以跟踪在导出的nfs客户端上执行的任何操作?

决议

  • 下面是一个示例,其中为nfs共享文件系统/test设置了审计规则。。
[root@vm27 test1]# df -h
Filesystem                   Size  Used Avail Use% Mounted on
/dev/mapper/vg_vm27-lv_root  8.4G  3.4G  4.7G  42% /
tmpfs                        498M     0  498M   0% /dev/shm
/dev/vda1                    485M   34M  426M   8% /boot
/dev/vdc                     5.0G  138M  4.6G   3% /shareddata
node1:/test                  8.4G  2.9G  5.2G  36% /test1 <------------------NFS Share
  • 编辑/etc/audit/audit.rules并将以下规则添加到要监视的共享的文件末尾。
 -w /test1/ -p wa -k test1

[root@vm27 test1]# cat /etc/audit/audit.rules 
# This file contains the auditctl rules that are loaded
# whenever the audit daemon is started via the initscripts.
# The rules are simply the parameters that would be passed
# to auditctl.

# First rule - delete all
-D
-w /test1/ -p wa -k test1 <-----------------------------Added entry for /test1
# Increase the buffers to survive stress events.
# Make this bigger for busy systems
-b 320

# Feel free to add below this line. See auditctl man page
  • 然后运行以下命令以重新启动audited服务并列出活动的审核规则:
 # service auditd restart
  • 注意:对于Rhel 7-service命令是正确与audited守护进程交互的唯一方法,以便正确记录auid值。systemctl命令仅用于两个操作:enablestatus
  • 在nfs共享上执行了一些活动:
[root@vm27 /]# cd /test1
[root@vm27 test1]# touch xyz klm nop
[root@vm27 test1]# chown root:root /test1
  • 可以根据给定的关键字字符串搜索事件:
# ausearch -k test
time->Tue Dec 22 11:01:09 2015
type=PATH msg=audit(1450762269.907:45573): item=1 name=(null) inode=396565 dev=00:18 mode=0100644 ouid=0 ogid=0 rdev=00:00 obj=system_u:object_r:nfs_t:s0 nametype=NORMAL
type=PATH msg=audit(1450762269.907:45573): item=0 name="/test1" inode=388706 dev=00:18 mode=040755 ouid=99 ogid=99 rdev=00:00 obj=system_u:object_r:nfs_t:s0 nametype=PARENT
type=CWD msg=audit(1450762269.907:45573):  cwd="/test1"
type=SYSCALL msg=audit(1450762269.907:45573): arch=c000003e syscall=2 success=yes exit=0 a0=7fff6b96874b a1=941 a2=1b6 a3=0 items=2 ppid=6273 pid=6563 auid=0 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts0 ses=1529 comm="touch" exe="/bin/touch" subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 key="test1"
----
time->Tue Dec 22 11:01:09 2015
type=PATH msg=audit(1450762269.910:45574): item=1 name=(null) inode=396571 dev=00:18 mode=0100644 ouid=0 ogid=0 rdev=00:00 obj=system_u:object_r:nfs_t:s0 nametype=NORMAL
type=PATH msg=audit(1450762269.910:45574): item=0 name="/test1" inode=388706 dev=00:18 mode=040755 ouid=99 ogid=99 rdev=00:00 obj=system_u:object_r:nfs_t:s0 nametype=PARENT
type=CWD msg=audit(1450762269.910:45574):  cwd="/test1"
type=SYSCALL msg=audit(1450762269.910:45574): arch=c000003e syscall=2 success=yes exit=0 a0=7fff6b96874f a1=941 a2=1b6 a3=0 items=2 ppid=6273 pid=6563 auid=0 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts0 ses=1529 comm="touch" exe="/bin/touch" subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 key="test1"
----
time->Tue Dec 22 11:01:29 2015
type=PATH msg=audit(1450762289.707:45575): item=0 name="/test1" inode=388706 dev=00:18 mode=040755 ouid=99 ogid=99 rdev=00:00 obj=system_u:object_r:nfs_t:s0 nametype=NORMAL
type=CWD msg=audit(1450762289.707:45575):  cwd="/test1"
type=SYSCALL msg=audit(1450762289.707:45575): arch=c000003e syscall=260 success=yes exit=0 a0=ffffffffffffff9c a1=f20720 a2=0 a3=0 items=1 ppid=6273 pid=6565 auid=0 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts0 ses=1529 comm="chown" exe="/bin/chown" subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 key="test1"
  • Audit rules 也可以在nfs服务器上配置,但如果文件是从一个nfs客户端修改的,那么nfs服务器审核日志中就不会有这些文件。
  • Audit 将仅跟踪本地系统调用,因此必须在所有客户端和服务器上配置规则。
HHFQ
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
大势至共享文件审计系统
12-24
一、应用背景 当前国内企事业单位纷纷组建了自己的内部局域网,并且纷纷在局域网内部架设各种服务器,用于共享单位内部的一些重要文件、商业机密等,用于本单位内部员工的访问、修改、信息交换、协同工作等,极大地提升了办公、工作效率。但是,由于缺乏对员工访问服务器共享文件审计、约束等网络管理工作,使得单位重要的共享文件常常被员工私自拷贝、修改、删除等,并且由于对外来电脑缺乏控制,导致外来人员通过携带笔记本、U盘、移动存储设备等接入到单位内部的局域网中,非法访问、拷贝重要的共享文件,给单位的信息安全和商业机密的保护带来巨大的风险和危害,严重影响了单位正常的生产、经营活动。为此,必须对员工访问共享文件的行为加以约束、记录和审计,从而便于更好地管理、保护共享文件,并为某系情况下的调查取证提供详实的记录。 二、解决方案 鉴于对共享文件进行审计和保护对企事业单位来说具有至关重要的作用,同时国内网络安全厂商没有专门的共享文件审计工具供用户选用。大势至研发团队顺应用户的这一需求,并通过艰苦的研发终于推出了“大势至共享文件审计系统”。“大势至共享文件审计系统”是大势至(北京)软件工程有限公司推出的一款专门用来监视和记录局域网内部用户访问局域网内部服务器、其他主机共享资源的内网共享文件安全审计系统。通过大势至共享文件审计系统你可以详细审计局域网电脑访问服务器共享资源的情况,包括新建、拷贝、修改、删除、重命名等操作,也即:某个电脑访问共享文件后的一切操作、访问日志都被详细地记录下来(并且通过一定的设置还可以防止员工私自修改、删除共享文件,或者对其修改、删除的共享文件进行还原、恢复等风险应对举措),同时用户对共享文件的所有操作记录都将存储到服务器的数据库中,并可以导出成word、excel等格式,便于提供给相关人员进行审计。 三、功能介绍 1、记录服务器共享文件夹或共享文件的访问情况,包括读取、拷贝、修改、删除、重命名、打印等情况,可以记录访问者采用的登录账户、IP地址、MAC地址、时间、访问时长、具体操作情况等。 2、根据共享文件夹或共享文件来查询局域网电脑访问共享文件的具体操作情况。 3、根据IP或MAC地址来查询局域网主机对那些共享文件做了那些具体操作。 4、根据访问权限来显示对应的共享文件,没有访问权限的共享文件将予以隐藏。 5、对重要共享文件进行实时备份功能,可以在一定条件下进行实时还原。 6、对重要共享文件进行防删除操作,一旦蓄意或误操作删除共享文件可以恢复。 7、通过账户、IP和MAC地址三重绑定来限定客户端的电脑访问共享文件情况,一旦不符合绑定规则,禁止其访问共享文件。 8、限制外来电脑或未经授权的电脑访问共享文件,也即必须加入到许可访问共享文件的白名单电脑才可以访问共享文件。 9、支持在公司外部或外地访问单位局域网共享文件服务器并提供监控功能。 10、访问共享文件的日志情况可以导出为其他格式,如word、excel等,便于第三方审计。 11、集成开放的功能扩展接口,可以与我公司的商用安全计算机、外来电脑控制系统相互配合,强化对共享文件的保护。 四、领先优势 大势至共享文件审计系统与国内同类系统相比,主要优势如下: 1、大势至共享文件审计系统还可以与大势至商用安全计算机进行整合,从而有效地防止了通过访问共享文件服务器的USB接口,使用U盘、移动硬盘、蓝牙、手机等外接存储设备来复制、拷贝共享文件的行为。 2、大势至共享文件审计系统同时支持Linux操作系统和Windows操作系统,从而具有更好的适应性,满足各个系统平台用户的监控共享文件的需求。 3、大势至共享文件审计系统支持主流的各种数据库,如ACCESS、MySql、SQL、DB2、Oracle数据库等,从而可以充分利用客户服务器的数据库模块,避免了客户购买新的数据库或安装操作特定数据库。 4、大势至共享文件审计系统只需要安装在提供共享文件服务器上即可监控局域网内所有用户访问服务器文件的各种操作,不需要在客户端安装,不需要调整现有的网络结构,也不需要额外其他设备,从而一方面极大地节省了部署服务器共享文件监控系统的复杂性和工作量,又大幅度节省了购买其他硬件的投资支出。 5、大势至共享文件审计系统可以对重要共享文件的修改、删除操作进行实时备份和实时还原,从而有效地防止了共享文件被误操作、恶意修改而丢失、损坏的情况。 6、大势至共享文件审计系统通过基于用户、IP地址、MAC地址的三重认证和识别机制,从而可以确保用户识别的唯一性和精准性,防止了借用他人账户而在本机登录,或利用他人电脑使用本地账户登录的混乱状态,确保了共享文件访问操作责任到人;同时,也可以有效防止外来电脑私自接入局域网而访问共享文件的情况。 7、大势至共享文件审计系统还可以与大势至商用安全计算机进行整合,从而有效地防止了通过访问共享文件服务器的USB接口,使用U盘、移动硬盘、蓝牙、手机等外接存储设备来复制、拷贝共享文件的行为。 大势至共享文件审计系统不对监控文件进行加密、解密操作,从而可以防止重要文件被加密后无法打开,造成重要文件无法还原、丢失的情况,从而可以更安全地保护共享文件。 五、系统架构 大势至共享文件审计系统分为软件版本和硬件版本:其中,硬件版本基于全面优化的高性能文件服务器专用平台,比同类配置的普通服务器性能提升至少30%(详情见下文硬件参数)。 平台架构 2U工业设计,高强度钢外壳 CPU型号 至强中高端CPU CPU个数 2颗 内存 4G-16G,DDR3/1333MHZ 硬盘 1TB-2TB 网卡 双千兆网卡 Raid 支持 预装 大势至共享文件审计系统 图2:大势至共享文件服务器简要参数 操作系统:同时支持Windows操作系统(XP、Win2003、Win7、Win2008)或Linux操作系统,适应性更强。 数据库:同时支持MySql和SQL数据库系统,便于进行大量日志的存储,并可以导出为Word、Excel等格式。 安装部署方式:可以直接购买基于硬件架构的共享文件审计系统,亦可利用单位现有的硬件服务器设备单独部署大势至文件审计系统,无论何种安装方式,均不影响用户现有的网络结构。 六、系统截图 操作使用:本系统基于图形界面,操作极为简单,同时查询页面基于窗口方式,可以随意在局域网客户端电脑打开、登录、查询,极为方便。 通过大势至共享文件审计系统,可以详细记录局域网电脑访问服务器重要共享文件访问、使用情况,从而可以更好地保护企业商业机密和重要信息。同时,也可以便于网管分析服务器共享文件的访问情况并采取措施加强网络管理,为事后审计提供凭据。
如何监视局域网服务器共享文件操作、服务器共享文件审计
10-01
大势至共享文件管理系统专门用于管理和监控服务器共享文件,可以给不同用户、不同文件设置不同访问权限,包括新建、复制、修改、删除、剪切、重命名、另存、打印等,还可以详细记录用户对共享文件的操作记录
服务器共享文件审计,内网安全管理系统-共享审计
weixin_35591736的博客
08-06 615
在现代企事业单位的网络中,最常用的功能莫过于“共享文件”了。财务部门需要当月员工的考勤信息,人事部门可能不会亲自拿过去,而是在网络上共享;生产部门的生产报表也不会用书面的资料分发,而是放在网络的共享文件夹下,谁需要的话,就自己去查看就可以了,等等。类似的需求还有很多。可见,共享文件的功能,提高了办公的效率,使局域网应用中的一个不可缺的功能。但是,由于共享文件夹管理不当,往往也给企业带来了一些安全上...
nfs日志打开
liwech的专栏
05-05 2527
sysctl -w sunrpc.nfs_debug=65535 客户端日志打开,0表示关闭。 sysctl -w sunrpc.nfsd_debug=1023 nfs服务端日志打开,0表示关闭。
windows文件共享审计功能开启
weixin_34199335的博客
06-01 2367
Windows server 2003的DC也是支持开启审计功能的,步骤如下: 1. 在DC上打开“Active Directory Users and Computer”。 2.在“View”菜单上,单击“Advance”。 3.右键单击“DC”,然后单击“properties”。 4.单击“Group Policy”选项卡,单击“Default domain ...
银河麒麟高级服务器操作系统V10 使能NFS支持tcp-wrappers解决“CVE-1999-0554”问题
最新发布
10-28
NFS是一种广泛使用的网络文件共享协议,允许不同的操作系统之间共享文件和目录。然而,如同所有网络服务一样,NFS也可能成为黑客攻击的目标。"CVE-1999-0554"是一个较老但仍然可能被利用的安全漏洞,它存在于NFS服务...
Linux文件系统.doc
11-20
1. **NFS工作原理**:NFS是一种分布式文件系统协议,允许网络上的计算机之间共享文件和目录。它通过将远程文件系统透明地呈现为本地文件系统来实现这一功能。NFS基于客户端-服务器模型,客户端通过RPC(Remote ...
如何配置安全的Linux操作系统
09-16
2. 共享库升级:更新GNU libc等关键库,但需谨慎操作,避免因升级问题导致系统不稳定。 3. 关闭危险服务:如echo、chargen、shell、login、finger、NFS、RPC等,降低被攻击的风险。 4. 关闭非必需服务:如talk、...
2003服务器共享解决.7z
07-13
7. **安全考虑**:为了保护数据安全,应定期更改共享密码,限制对敏感文件的访问,并启用NTFS权限的审计,以便追踪文件访问记录。 8. **故障排查**:如果遇到访问问题,可以检查网络连接、用户名和密码是否正确、...
LINUX系统上基本的安全加固方法参考.docx
06-16
此外,NFS服务(netfs和nfslock)也应关闭,除非确实需要文件共享功能。 禁用IPv6是另一个安全加固步骤。尽管IPv6设计用于解决IPv4地址耗尽的问题,但若服务器不需要它,禁用可以提升性能并减少潜在安全风险。在...
服务器共享文件权限划分管理、服务器共享文件审计管理的方法
10-01
有一款软件叫大势至共享文件管理系统是最近几年新出的一款软件,专门用于管理服务器共享文件权限,下面通过本文给大家分享服务器共享文件权限划分管理、服务器共享文件审计管理的方法,需要的朋友参考下吧
内部网文件监控审计系统的设计和实现
04-24
本文论述了内部网文件监控审计系统的设计和实现。在系统监控端上,利用木马的“隐蔽性”,实现了在Win2002 系统 中的进程隐藏和通信隐藏。在文件监控上,论述了内部网文件监控审计系统对数据进行全方位安全保护机制。
最有效控制服务器共享文件访问权限,监控服务器共享文件
09-05
“大势至共享文件审计系统”是大势至(北京)软件工程有限公司推出的一款专门监控服务器共享文件、记录局域网用户对共享文件的各种操作的专业安全防护软件。通过大势至共享文件审计系统你可以详细审计局域网电脑访问服务器共享文件的行为,包括新建、拷贝、修改、删除、剪切、重命名等操作,从而便于对员工访问共享文件的行为进行全程的记录和查证,便于网管员进行事后审计和调查取证。同时,通过对共享文件进行保护设置,还可以防止局域网用户有意或不小心删除共享文件的情况,从而有力地保护了单位服务器共享文件的安全,保护了单位商业机密和无形资产。
大势至共享文件设置访问权限软件 v3.0.rar
07-15
大势至共享文件设置访问权限软件是一款专门的共享文件防复制软件,只需要在开启共享文件的电脑或服务器上安装,就可以只让读取共享文件而禁止复制共享文件、只让修改共享文件而禁止删除共享文件、只让打开共享文件但禁止另存为本地。同时,还可以设置共享文件夹访问密码、为不同用户设置共享文件的不同访问权限,全面保护共享文件的安全。 大势至共享文件设置访问权限软件截图
大势至局域网文件共享管理系统 v10.5
11-12
大势至局域网文件共享管理系统可以详细审计局域网电脑访问服务器共享文件的行为,包括新建、拷贝、修改、删除、剪切、重命名等操作,从而便于对员工访问共享文件的行为进行全程的记录和查证,便于网管员进行事后审计和调查取证。同时,通过对共享文件进行保护设置,还可以防止局域网用户有意或不小心删除共享文件的情况。功能介绍:1、记录服务器共享文件夹或共享文件的访问情况,包括读取、拷贝、修改、删除、重命名、打印等情况,可以记录访问者采用的登录账户、IP地址、MAC地址、时间、访问时长、具体操作情况等。2、根据共享文件夹或共享文件来查询局域网电脑访问共享文件的具体操作情况。3、根据IP或MAC地址来查询局域网主机对那些共享文件做了那些具体操作。4、根据访问权限来显示对应的共享文件,没有访问权限的共享文件将予以隐藏。5、对重要共享文件进行实时备份功能,可以在一定条件下进行实时还原。6、对重要共享文件进行防删除操作,一旦蓄意或误操作删除共享文件可以恢复。7、通过账户、IP和MAC地址三重绑定来限定客户端的电脑访问共享文件情况,一旦不符合绑定规则,禁止其访问共享文件。8、限制外来电脑或未经授权的电脑访问共享文件
Windows开启安全审计功能
yyzbingyue的博客
07-26 9851
打开控制面板—管理工具—本地安全策略—本地策略—审核策略,右键属性勾选成功、失败,最好点击应用。
服务器导出连接日志文件,Windows文件共享日志审计功能及输出到syslog服务器
weixin_32339855的博客
08-02 1576
开启文件共享日志审计1、在文件共享的目录上右键->安全->高级->审核2、添加,主体选择Authenticacted Users或者Everyone,勾选如下权限,然后确定3、打开事件查看器,定位到Windows日志->安全,可以看到已经有日志过来了,这里主要有用的事件id是4663和4659:安装nxlog采集日志1、安装过程不多描述,装完之后改配置文件如下:define...
linux内核audit,linux下的audit服务
weixin_42298778的博客
04-29 1179
audit ['ɔːdɪt] 审计auditd是linux的一个审计服务。这是man下的解释auditd is the userspace component to the Linux Auditing System. It’sresponsible for writing audit records to the disk. Viewing the logs isdone with ...
十分钟学习nfs服务器
weixin_54111663的博客
02-28 727
NFS是Network File System的缩写,中文称为网络文件系统,它的主要功能是通过网络(一个局域网)让不同的主机系统之间可以共享文件或目录,NFS的客户端(一般为应用服务器,例如web)可以通过挂载(mount)的方式将NFS服务器共享的数据目录挂载到NFS客户端本地系统中(就是某一个关在点下),从客户端本地看,NFS服务器共享目录就好像是客户端自己的磁盘分区或者目录一样,而实际上却是远端的NFS服务器的目录。
linux nfs共享文件挂载
10-09
要在Linux上挂载NFS共享文件,你可以按照以下步骤进行操作: 1. 首先,确保NFS服务器已经正确配置并且可访问。你需要知道NFS服务器的IP地址或主机名。 2. 创建一个本地目录,用于将NFS共享文件挂载到该目录。例如,创建一个名为 `/mnt/nfs` 的目录: ```bash sudo mkdir -p /mnt/nfs ``` 3. 使用 `mount` 命令挂载NFS共享文件。格式如下: ```bash sudo mount -t nfs <NFS服务器IP或主机名>:<共享目录路径> <本地目录路径> ``` 例如,如果NFS服务器的IP地址为 `192.168.0.100`,共享目录路径为 `/shared`,而本地目录路径为 `/mnt/nfs`,则命令如下: ```bash sudo mount -t nfs 192.168.0.100:/shared /mnt/nfs ``` 4. 如果一切顺利,你应该能够查看到挂载的NFS共享文件。可以使用 `ls` 命令检查: ```bash ls /mnt/nfs ``` 5. 如果需要卸载NFS共享文件,可以使用 `umount` 命令。例如: ```bash sudo umount /mnt/nfs ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值