1.syslog登陆事件记录
more /etc/rsyslog.conf 查看authpriv值是否为authpriv.* /var/log/secure
如果没有对所有登陆事件记录,则小于安全要求
2.Syslog.conf的配置审核
more /etc/rsyslog.conf 查看有没有类似下面的设置,如果没有低于安全要求
kern.warning;*.err;authpriv.none @loghost
*.info;mail.none;authpriv.none;cron.none @loghost
*.emerg @loghost
local7.* @loghost
3.对ssh、su登录日志进行记录
vim /etc/syslog.conf
# The authpriv file has restricted access. authpriv.* /var/log/secure
/etc/rc.d/init.d/syslog restart 重新启动syslogd
4.用记录cron行为日志功能
vim /etc/syslog.conf
# Log cron stuff cron.* /var/log/cron
5.ftpd审计功能
vim /etc/inetd.conf加入ftp stream tcp nowait root /usr/libexec/ftpd ftpd -l -r -A -S
vim /etc/sysylog.conf中加入 ftp.* /var/log/ftpd
重启inetd进程 kill -1 'cat/var/run/inetd.pid'
6.设置history时间戳
vim ~/.bash_profile
export HISTTIMEFORMAT="%F %T “
export HISTTIMEFORMAT=“%F %T ‘whoami’"
7.设置保存history的历史条数
cat /etc/profile 设置HISTSIZE=5 和 HISTFILESIZE
8.系统core dump状态
more /etc/security/limits.conf 检查是否包含下列项:
* soft core 0
* hard core 0
若不存在,则低于安全要求