413课堂练习《第十四章》配置系统审计

最新推荐文章于 2024-02-27 21:15:00 发布
最新推荐文章于 2024-02-27 21:15:00 发布
阅读量529 收藏
点赞数
目录
 413课堂练习《第一章》跟踪安全更新
413课堂练习《第二章》管理软件更新
413课堂练习《第三章》创建文件系统
413课堂练习《第四章》管理文件系统
413课堂练习《第五章》特殊权限管理
413课堂练习《第六章》管理附加文件权限
413课堂练习《第七章》监视文件系统变更
413课堂练习《第八章》管理用户账户
413课堂练习《第九章》管理PAM
413课堂练习《第十章》加强控制台安全
413课堂练习《第十一章》安装CA中心
413课堂练习《第十二章》管理CA中心
413课堂练习《第十三章》配置系统日志
413课堂练习《第十四章》配置系统审计
413课堂练习《第十五章》控制网络服务访问

课堂实验
1. 确认auditd服务已运行
[root@serverX ~]# service auditd status

2. 确认auditd服务可在3和5状态下自动运行
[root@serverX ~]# chkconfig --list auditd

3. 实时查看auditd服务的运行日志
[root@serverX ~]# tail -f /var/log/audit/audit.log

4. 在serverX上以student身份使用sudo命令(未配置,失败)
[student@serverX ~]$ sudo ls

5. 观察auditd日志的变化
{USER_AUTH, USER_ACCT, USER_CMD}

课堂实验
1. 生成所有强制访问控制事件报告(需要登录几次图形控制台生成数据),注意Audit Event ID
[root@serverX ~]# aureport --mac | grep '^1\.' | cut -d' ' -f7

2. 以非直接打开日志文件的方式显示上一步获取的条目,将UID转换成可读信息
[root@serverX ~]# ausearch -i -a { EVENTID}

3. 生成命令执行的汇总报告(只有安全敏感型命令会被记录)
[root@serverX ~]# aureport --executable --summary

4. 搜索所有关于LOGIN类型的审计事件
[root@serverX ~]# ausearch -m LOGIN --raw

5. 使用审计系统跟踪/bin/ls /tmp的执行,并生成关于此命令打开的所有文件的报告
[root@serverX ~]# autrace /bin/ls /tmp
[root@serverX ~]# ausearch -p { PROCESSID} --start recent --raw | aureport -i --file

6. 重复上述跟踪,将跟踪内容更改为/bin/ls -l /tmp,观察结果的不同
{lstat system call}

课堂实验
1. 增加审计规则,获得每一次对/etc中文件的单独写或属性变化,对每个审计结果以config-change进行标注,不要将此规则作为永久规则
[root@serverX ~]# auditctl -w /etc/ -p wa -k config-change

2. 创建一个名为/etc/sysconfig/applejack的空文件,使用 config-change标识检查全天审计日志
[root@serverX ~]# touch /etc/sysconfig/applejack
[root@serverX ~]# ausearch --start today -k config-change

3. 创建审计规则,记录以Audit UID大于等于500和Effective UID等于0的用户对/bin/下任意文件的执行,添加privileged-execution标识, 不要将此规则作为永久规则
[root@serverX ~]# auditctl -w /bin/ -p x -F "auid>=500" -F "euid=0" -k privileged-execution

4. 以student身份登录serverX,并用su提升权限至root,执行/bin/true,并用privileged-execution标识查找本周的审计信息
[root@serverX ~]# /bin/true
[root@serverX ~]# ausearch --start this-week -i -k privileged-execution

5. 添加一个永久审计规则,记录以Audit UID大于等于500的全部用户的系统call(unlink,unlinkat,rename,renameat),确保规则涵盖32与64位架构,添加delete标识,排除auid 4294967295
[root@serverX ~]#  /etc/audit/audit.rules
-a exit,always -F arch=b32 -S unlink -S unlinkat -S rename -S renameat -F auid>=588 -F auid!=4294967295 -k delete
-a exit,always -F arch=b64 -S unlink -S unlinkat -S rename -S renameat -F auid>=588 -F auid!=4294967295 -k delete
[root@serverX ~]# service auditd restart

6. 以student身份登录serverX,创建并立即删除空文件/tmp/shiny,以root身份搜索标识为delete和路径名为/tmp/shiny的本年记录
[student@serverX ~]$ touch /tmp/shiny; rm /tmp/shiny
[root@serverX ~]# ausearch --start this-year -i -k delete -f /tmp/shiny

课堂实验
1. 下载指定规则配置
[root@serverX ~]# wget ftp://instructor.example.com/pub/materials/mule.rules

2. 用下载的文件替换默认规则
[root@serverX ~]# cat mule.rules > /etc/audit/audit.rules

3. 定位到规则中privileged命令部分,并增加若干行规则(一个命令一行)
[root@serverX ~]# find /bin -type f -perm -04000 2>/dev/null
将用上述方法找出的命令替代规则文件中的/bin/ping部分

4. 定位名为All system administration actions的规则,增加pam_tty_audit到session部分(/etc/pam.d/system-auth,/etc/pam.d/password-auth),只开放对root的键盘监听
[root@serverX ~]# vim /etc/pam.d/system-auth
[root@serverX ~]# vim  /etc/pam.d/password-auth
session    required    pam_tty_audit.so enable=root

5. 重启审计服务
[root@serverX ~]# service auditd restart

6. 以student身份ping本地网络,以root身份观察审计结果
[student@serverX ~]$ ping -c1 localhost
[root@serverX ~]# aureport --executable --summary | grep ping

7. 查找关于time-change的所有事件,并找出哪个程序负责修改系统时间(可能需要重启ntp服务)
[root@serverX ~]# ausearch -k time-change --raw | aureport --executable --summary

8. 开启新窗口,提升权限至root,执行一些命令后生成关于TTY的报告
[root@serverX ~]# aureport --tty

9. 查看审计规则最后一行和当前的审计进程状态,回答enabled=2或-e 2的作用(enabled=2将审计进程设为有效并使当前规则锁定,重启后才能使修改后的规则生效)
[root@serverX ~]# tail -n2 /etc/audit/audit.rules
[root@serverX ~]# auditctl - s

案例(部署自定义审计策略)
1. 符合键盘监听需求,日志在/etc/pam.d/system-auth和/etc/pam.d/password-auth中增加如下内容(root通过SSH的访问或者直接访问也包括普通用户的提权)
[root@serverX ~]# vim /etc/pam.d/system-auth
[root@serverX ~]# vim /etc/pam.d/password-auth
session    required    pam_tty_audit.so enable=root

2. 符合etc-change需求,在审计规则中加入如下内容(/etc/下所有的写操作与文件权限变更
[root@serverX ~]# vim /etc/audit/audit.rules
-w /etc/ -p wa -k etc-change

3. 符合audit-access需求,在审计规则中加入如下内容(/var/log/audit/下被访问的文件)
[root@serverX ~]# vim  /etc/audit/audit.rules
-w /var/log/audit/ -k audit-access

4. 符合device-creation需求,在审计规则中加入如下内容(32位和64位的mknod与mknodat系统调用)
[root@serverX ~]# vim  /etc/audit/audit.rules
-a exit,always -F arch=b32 -S mknod -S mknodat -k device-creation
-a exit,always -F arch=b64 -S mknod -S mknodat -k device-creation

5. 符合bofh-access需求,在审计规则中加入如下内容(/home/下被root访问但不属于root的文件)
[root@serverX ~]# vim  /etc/audit/audit.rules
-a exit,always -F dir=/home/ -F uid=0 -C auid!=obj_uid -k bofh-access

6. 在测试规则后,固化规则
[root@serverX ~]# vim  /etc/audit/audit.rules
-e 2
[root@serverX ~]# service auditd restart

来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/24644775/viewspace-1255808/,如需转载,请注明出处,否则将追究法律责任。

转载于:http://blog.itpub.net/24644775/viewspace-1255808/

cuiwang0197
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
数据科学教育与智能学习——数据科学教师的策略与方法论
程序员光剑
08-06 2130
数据科学(Data Science)是一个新兴的计算机科学学术研究领域,它融合了统计学、数学、编程语言、信息论、机器学习等多学科的研究成果,并使之能够处理海量数据、高维特征及复杂关系,从而实现对数据的自动化分析、预测、决策、推荐等高效率运用。数据科学教育不仅是数据科学实践中不可或缺的一环,也是企业对员工培养能力、提升职场竞争力、为组织创造价值的重要渠道。数据科学教师通过培养学生的数据思维、解决实际问题的能力,可以有效促进学生的全面发展。智能学习就是指由机器引导的人机交互过程。
2011-07 《信息资源管理 02378》真卷解析,逐题解析+背诵技巧
梦想橡皮擦,专栏100例写作模式先行者,现象级专栏 《Python 爬虫 100 例》作者、《滚雪球学 Python 专栏》原创者
11-28 1万+
本系列博客合计 21 篇,每篇都将解析一张《信息资源管理》真卷,并附带答案解析与背诵技巧。
PAM | 账户安全 | 管理
梓芮
02-18 1493
PAM(Pluggable Authentication Modules,可插入式身份验证模块)是一个灵活的身份验证系统,允许我们通过配置和组合各种模块来实现不同的身份验证策略。以上只是一些常见的 PAM 模块,实际还有许多其他模块可用于不同的身份验证需求。限制账号安全的配置涉及很多步骤,包括密码策略、访问控制、身份验证、日志和监控等。Linux系统的账户安全是保护系统免受未授权访问和潜在威胁的关键方面。
rhcsa第五次作业
qq_59180100的博客
07-18 565
ar命令 sftp的put和get命令 变量 find查找文件与别名设置 history 查阅命令历史 特殊符号 分号 " ; " 引号的使用举例:
centos 7 使用日记 sudo
steventian72的博客
11-21 326
sudo命令 只有/etc/sudoers配置文件中列出的用户才可以使用该sudo命令,命令在用户的 shell中执行,而不是在rootshell中执行。这意味着root可以完全禁用shell。 sudo ls /root 每个使用该sudo命令的成功身份验证都会记录到/var/log/messages,并将的用户和发出的命令记录到文件/var/log/secure中。 /var/log/secu...
Linux安全之auditd审计工具使用说明
最新发布
Innocence_0的博客
02-27 4443
audited是Linux审核系统的用户空间组件。它负责将审核记录写入磁盘。查看日志是通过ausearch或aureport实用程序完成的。审核系统或加载规则的配置是使用auditctl实用程序完成的。在启动过程中,/etc/audit/audit.rules中的规则由auditctl读取并加载到内核中。另外,还有一个augenrules程序,它读取/etc/audit/rules.d/中的规则,并将它们编译为audit.rules文件。
Linux笔记 No.22---(Linux - PAM)
weixin_45880055的博客
11-11 2044
在Linux中执行有些程序时,这些程序在执行前首先要对启动它的用户进行认证,符合一定的要求之后才允许执行,例如login, su等。在Linux中进行身份或是状态的验证程序是由PAM来进行的,PAM(Pluggable Authentication Modules)可动态加载验证模块,因为可以按需要动态的对验证的内容进行变更,所以可以大大提高验证的灵活性。 可插拔身份认证模块(Pluggable Authentication Module,PAM)是一套共享库,使本地系统管理员可以灵活选择程序的认证方式。主
计算机课程总结800字,计算机课程心得体会范文800字(通用5篇)
weixin_28686771的博客
07-08 1758
计算机课程心得体会范文800字(通用5篇)我们从一些事情上得到感悟后,不妨将其写成一篇心得体会,让自己铭记于心,从而不断地丰富我们的思想。到底应如何写心得体会呢?以下是小编为大家收集的计算机课程心得体会范文800字(通用5篇),仅供参考,大家一起来看看吧。计算机课程心得体会1我一直认为信息技术就是单纯的电脑操作,教师上信息技术课的目的就是为了让学生学会操作电脑,特别是对于农村的小学生来说,学会正确...
教育大数据总体解决方案(2)
2301_76549664的博客
04-13 1025
通过对用户已有核心系统和自建通用系统数据进行清洗整合之后,利用大数据中心的海量数据,实现跨业务、跨系统的多维数据分析,一定程度上实现数据预警和预判,通过数据大屏进行对诸如学校情况、教师情况、师生流动情况、营养餐情况、学生贫困情况等多维数据的查询与发布,数据融合呈现是以数据呈现为核心,支持在线OLAP的数据分析,满足多样化的数据呈现需求,实现跨业务的数据分析为教育教学的改进提供依据,按需为领导的决策制定提供依据。综合信息门户以不同角色关注的数据范围为基础,通过数据之间的联合分析提供个性化信息门户。
第5章 获取超级权限
机器学习与保险大数据
09-13 358
系统管理员和有些用户需要用管理员权限执行一些任务。用ROOT用户访问系统潜在的危险很大,有可能导致系统和数据大范围的破坏。本章介绍通过su和sudo获取超级权限。这些工具允许指定的用户以ROOT身份实施更高级别的系统操作。 更详细的介绍请参考《Red Hat Enterprise Linux 7 Security Guide》。 5.1 su命令 当用户执行su命令时,将被提示输入root用
Linux下安全审计audit 系统审计 记录root操作
河静
09-24 4002
Linux下安全审计audit 系统审计 1.审计介绍 Linux 审计系统提供了一种跟踪系统上与安全相关的信息的方法。根据预先配置的规则,Audit 会生成日志条目,以尽可能多地记录有关系统上发生的事件的信息。此信息对于关键任务环境确定安全策略的违反者及其执行的操作至关重要。审计不会为您的系统提供额外的安全性;相反,它可用于发现违反您系统上使用的安全策略的情况。可以通过其他安全措施(例如 SELinux)进一步防止这些违规行为。 audit能够在日志中记录的信息有: 时间的日期时间、类型和结果 主体和
audit审计规则配置方法
热门推荐
bigwood99的博客
09-06 1万+
1.概述 Linux提供了一个审计服务auditd。 默认情况下,开启这个服务只记录较少的资料。 这可能不满足大多数人的需要。但是如果开启全部记录,对于生产环境,可能负载过重,导致影响正常的服务。因此,根据实际需要进行配置是必须的。 Linux系统提供了一些配置的例子可以参考。 /usr/share/doc/audit-2.4.5 audit规则可以使用auditctl命令或配置规则文件来实现。 auditctl命令可以立即生效,但是重启服务会丢失配置的规则。 使用配置文件配置,需...
Linux之SELinux的介绍以及用法
小橙子的笔记屋
04-22 1万+
一、SELinux简介 1、什么是SELinux: SELinux(security enhanced linux)安全增强型Linux系统,它是一个linux内核模块,也是Linux的一个安全子系统。 Selinux的主要作用就是最大限度地减小系统中服务进程可访问的资源(最小权限原则) 2、SELinux有两个级别: 强制、警告 setenforce 0 :表示警告(Permissive) setenforce 1 :表示强制(Enforcing) 3、SELinux相当于一个插件(内核级的插件) 4、S
Linux -- 等级保护 (简单操作)
a755737444的博客
04-10 1008
// 密码复杂度: 字母/数字/特殊符号,不小于8位; 用户密码 5 次不能重复; vim /etc/pam.d/system-auth auth required pam_tally2.so onerr=fail deny=3 unlock_time=1200 even_deny_root root_unlock_time=1200 auth ...
菜鸟学Linux命令:find命令 查找文件
weixin_34203832的博客
05-05 246
find命令是Linux下最常用的命令之一,灵活的使用find命令,你会发现查找文件变得十分简单。 命令格式 find [指定查找目录] [查找规则(选项)] [查找完后执行的动作] 参数规则 -name 按照文件名查找文件 -iname 根据文件名查找,但是不区分大小写 -perm 按照文件权限来查找文件 -prune 使用这一选项可以使find命...
linux audit审计(5)--audit规则配置
weixin_30824479的博客
04-04 985
audit可以配置规则,这个规则主要是给内核模块下发的,内核audit模块会按照这个规则获取审计信息,发送给auditd来记录日志。 规则类型可分为: 1、控制规则:控制audit系统的规则; 2、文件系统规则:也可以认为是文件监控,可以监控一个特定文件或者一个路径。 3、系统调用规则:可以记录特定程序的系统调用。 audit规则可以通过auditctl,在命令行里输入,...
Linux安全审计功能的实现
cangwei2788的博客
04-01 888
Linux安全审计功能的实现—二次安防Linux系统自带审计功能的配置 Linux系统中有大量的日志文件可以用于查看应用程序的各种信息,但是对于用户的操作行为(如某用户修改删除了某文件)却无法通过这些日志文件来查看,如果想实现监管企业员工的操作行为就需要开启审计功能,也就是audit。 1 auditd服务相关命令(root 用户执行) 启动 service auditd start (stop为停止) [root@localhost rules.d]# service auditd start 重启
linux audit审计(8)--ausearch搜索audit日志文件
weixin_30262255的博客
04-18 975
ausearch这个工具,可以针对指定的事件来搜索audit日志文件。默认情况下,ausearch搜索/var/log/audit/audit.log这个文件。 Theausearchutility allows you to search Audit log files for specific events. By default,ausearchsearches the/var/...
王爽老师数据库系统及安全课堂练习解析
"数据库练习,包括王爽老师教授的数据库系统及安全课程的多个章节练习,覆盖了从基础查询到嵌套查询等内容。" 在数据库领域,理解和掌握数据库系统及其安全至关重要。王爽老师的课程提供了丰富的练习,帮助学习者...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值