系统审计、服务安全

最新推荐文章于 2023-10-19 15:54:47 发布
VIP文章 最新推荐文章于 2023-10-19 15:54:47 发布
阅读量423 收藏
点赞数
分类专栏: 安全与监控
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tongzhuo1220/article/details/90669955
版权

一、系统审计

只能记录不能限制违反的行为

通常对命令、目录、文件做审计

介绍

基于事先配置的规则生成日志,记录可能发生在系统上的事件

审计不会为系统提供额外的安全保护,但她会发现并记录违反安全策略的人及其对应的行为

审计能够记录的日志内容:

  1. 日期与事件、事件结果
  2. 触发事件的用户
  3. 所有认证机制的使用都可以被记录,如ssh等
  4. 对关键数据文件的修改行为等

监控文件的访问

监控系统调用

记录用户运行的命令

审计可以监控网络访问行为

ausearch工具,可以根据条件过滤审计日志

aureport工具,可以生成审计报告

 

 

RHEL7自带了audit软件

 

 

部署audit

root@host53 ~]# yum -y install audit-libs
[root@host53 ~]# grep -n "log_file"  /etc/audit/auditd.conf 
7:log_file = /var/log/audit/audit.log                                                #日志文件
12:max_log_file = 8
19:max_log_file_action = ROTATE
 

[root@host53 ~]# wc -l /var/log/audit/audit.log 
20881 /var/log/audit/audit.log

[root@host53 ~]# systemctl start  auditd
[root@host53 ~]# systemctl status  auditd

 

[root@host53 ~]# auditctl --help 
[root@host53 ~]# auditctl -l                     #查看规则
No rules
[root@host53 ~]# auditctl -s                     #查询状态


 

 

命令行定义规则(临时)

格式:auditctl -w path  -p permission(rwxa)   -k key_name

path为需审计的文件或目录

权限可以是r,w,x,a(a:文件或目录的属性发生变化)

key_name 为可选项,方便识别哪些规则生成特定的日志项


[root@host53 ~]# auditctl -w /etc/passwd(被审计的目标) -p wa -k plj_passwd(审计日志)      #设置规则对passwd文件写,属性修改操作都会被记录到审计日志     
[root@host53 ~]# auditctl -w /etc/selinux -p wa -k plj_selinux          #设置规则,监控该目录
[root@host53 ~]# auditctl -w /usr/sbin/fdisk -p x -k plj_fdisk               #设置规则,监控fdisk程序
[root@host53 ~]# auditctl -l                                                                      # #查看规则
-w /etc/passwd -p wa -k plj_passwd
-w /etc/selinux -p wa -k plj_selinux
-w /usr/sbin/fdisk -p x -k plj_fdisk

 

配置永久规则(系统重启依然有效)

[root@host53 ~]# vim /etc/audit/rules.d/audit.rules 

-w /etc/passwd -p wa -k plj_passwd
-w /etc/selinux -p wa -k plj_selinux
-w /usr/sbin/fdisk -p x -k plj_fdisk
 

[root@host53 ~]# ls /usr/share/doc/audit-2.7.6/rules/          #系统提供的参考模板
 

 

  • 审计日志     /var/log/audit/audit.log

type为类型

msg为(time_stamp:ID),时间是date+%s

arch=c000003e,代表x86_64(16进制)

success=yes/no,事件是否成功

a0-a3是程序调用时前4个参数,16进制编码了

ppid父进程IP,如bash,pid进程ID,如cat命令

auid是审计用户的id,su - test,依然可以追踪su前的账户

uid,gid用户和组

tty:从哪个终端执行的命令

comm="cat"    用户在命令行执行的指令

exe="/bin/cat"   #实际程序的路径

key="sshd_config"   #管理员定义的策略关键字key

type=CWD                #用来记录当前工作目录

--cwd="/home/username"     

type=PATH

---ouid(owner's user id)   对象所有者id

--giud(owner's groupid)   对象所有者id

 

[root@host53 ~]# ausearch -k plj_passwd       #搜索日志(可加-i交互式操作)

 

[root@host53 ~]# fdisk  -l
[root@host53 ~]# useradd kenji0
[root@host53 ~]# ausearch -k plj_passwd
[root@host53 ~]# ausearch -k plj_fdisk

time  日志生成时间

comm  命令名

exec   命令的绝对路径

uid   用户名

exit  返回值0为成功

 

 

 

 

二、服务安全

 

  • 网站安全

nginx(php)

tomcat(java)

新虚拟机做实验

  • 修改版本信息(修改码源)[autoindex on]

[root@host50 ~]# yum -y install gcc pcre-devel openssl-devel zlib-devel
[root@host50 ~]# tar -xf nginx-1.12.2.tar.gz 
[root@host50 nginx-1.12.2]# cd nginx-1.12.2/
[root@host50 nginx-1.12.2]# ./configure                           
[root@host50 nginx-1.12.2]# make   &&  make install                              #编译安装
[root@host50 nginx-1.12.2]# echo BBBB > /usr/local/nginx/html/b.html          #编写网站
[root@host50 nginx-1.12.2]# echo CCCC > /usr/local/nginx/html/c.html
[root@host50 nginx-1.12.2]# echo DDDDD > /usr/local/nginx/html/d.html
[root@host50 nginx-1.12.2]# /usr/local/nginx/sbin/nginx                         #启动服务
其他客户机访问192.168.4.50/b.html    /c.html    /d.html      #查看网页是否正常

[root@host50 nginx-1.12.2]# ./configure --help  | grep -i without        #不支持(禁用模块)
[root@host50 nginx-1.12.2]# ./configure --help  | grep -i with             #支持(加载模块)
 

[root@host50 nginx-1.12.2]# vim /usr/local/nginx/conf/nginx.conf

    server {
        autoindex on;

最低0.47元/天 解锁文章
tongzhuo1220
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
03: 系统审计 服务安全 Linux安全之打补丁.docx
07-15
系统审计 服务安全 Linux安全之打补丁
Linux命令详解(8)
最新发布
weixin_52198548的博客
11-01 452
查看日期 date '+参数'# 查看服务器的时间案例:2023年 10月 23日 星期一 11:38:48 CST# 日期说明一个日期包含: 年 月 日 星期 小时 分钟 秒 毫秒 纳秒 时区# 日期查看参数说明%F 只显示当前年月日(2023-10-23)%X 只显示当前时间的时分秒(17时50分20秒)%c 直接显示日期与时间(年月日 星期 时分秒)%x 直接显示日期(年月日)%T 显示时分秒 HH:MM:SS [24小时进制]%r 显示时分秒 [12小时进制]
Linux auditd.conf详解
ddd123789999的博客
11-01 2358
研究audit日志规则,本文为进程配置。 审计日志文件的完整路径。如果您配置守护进程向除默认/var/log/audit/外的目录中写日志文件时, 一定要修改它上面的文件权限,使得只有根用户有读、写和执行权限。所有其他用户都不能访问这个 目录或这个目录中的日志文件。 log_file =/var/log/audit/audit.log 写日志时要使用的格式。当设置为RAW时,数据会以从内核中检索到...
linux等保三级检查命令
UMSA
12-02 4396
一、身份鉴别 a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复 杂度要求并定期更换; 1、应核查用户在登陆时是否采用了身份鉴别措施; 用户登录服务器需要使用账户+账户口令。 2、应核查用户列表确认用户身份标识是否具有唯一性; (more /etc/passwd) //查看命令结果,第三字段不存在相同数字、用户名不存在相同名称。 3、应核查用户配置信息或测试验证是否不存在空口令用户; (more /etc/shadow) //查看命令结果,红框内的乱码表示加密以
【Linux】文件描述符
gangaue的博客
11-22 1494
本篇文章进行操作系统中文件描述符的学习!!!
linux 文件大小的解读,linux下设置最大文件打开数nofile及nr_open、file-max说明
weixin_42463736的博客
05-10 356
在开发运维的时候我们常常会遇到类似“Socket/File: Can’t open so many files”,“无法打开更多进程”,或是coredump过大等问题,这些都可以设置资源限制来解决。今天在教某位客户设置最大文件数方法时,搜索网上的方法时发现各家说法并不一致,便写了这篇文档。通常对linux某个用户设置系统资源,我们都已经知道可以用ulimit命令来查看和设置。表 1. ulimit...
Linux审计与日志安全加固
cainiao17441898的博客
11-08 3840
审计和日志服务配置 审计数据配置 日志文件最大参数 在储存策略(/etc/audit/audit.conf)中配置max_log_file=<MB> 当审计日志满的时候停止系统 space_left_action=email action_mail_acct=root admin_space_left_action=halt 当审计日志文件达到最大时,替换日志但不删除。 max_log_file_action=keep_logs 启动audit守护进程记录系统时间,查看是否有未经授权的访问信息
Centos7等保三级检查命令
人走茶良的博客
04-16 1445
一、操作系统   1、查看文件权限 查看该文件的权限 ls -la /var/log/audit/audit.log 查看如下文件的权限是否满足 ls -l /etc/passwd ls -l /etc/hosts ls -l /etc/login.defs ls -l /etc/hosts.allow ls -l /etc/shadow ls -l /etc/hosts.deny ls -l /etc/group
linux默认审计事件类型,linux运维审计
weixin_35799569的博客
05-14 536
选项 选项说明log_file =审计日志文件的完整路径。如果您配置守护进程向除默认/var/log/audit/外的目录中写日志文件时,一定要修改它上面的文件权限,使得只有根用户有读、写和执行权限。所有其他用户都不能访问这个目录或这个目录中的日志文件log_format =写日志时要使用的格式。当设置为RAW时,数据会以从内核中检索到的格式写到日志文件中。当设置为NOLOG时,数据不会写到日志文...
linux的审计功能(audit)
weixin_71792169的博客
09-26 3589
PART ONE 为了满足这样的需求:记录文件变化、记录用户对文件的读写,甚至记录系统调用,文件变化通知。 什么是audit The Linux Audit Subsystem is a system to Collect information regarding events occurring on the system(s) Kernel events (syscall events) User events (audit-enabled programs) syslog会记录系统状态(硬件警告、
系统审计 服务安全 Linux安全之打补丁-附件资源
03-05
系统审计 服务安全 Linux安全之打补丁-附件资源
服务安全审计系统设计与实现.pdf
08-07
提纲 为什么要安全审计 设计怎样的安全审计系统 如何实现安全审计系统 如何应用安全审计系统 延伸和扩展 FAQ
操作系统安全:lynic系统安全审计报告分析.docx
06-01
lynic系统安全审计报告分析 常用参数 常用参数 小技巧 如果lynis 不是通过带有man 页面的包进行安装的话,可以输入 # man ?lynis 对于那些SHELL终端背景是浅色的某些系统,可以使用 # lynis --nocolors 后者 # lynis...
等保基线核查 ——CentOS7
weixin_43965325的博客
10-19 1166
整理了等保基线核查(CentOS7)作业指导,包含测评要求和测评方法,以及整理了对一些文件及参数的注释
Linux MySQL --- 日志
陳Huid的博客
03-30 537
MySQL日志及分类 MySQL有不同类型的日志文件,各自存储了不同类型的日志。分析这些日志文件,除了可以了解MySQL数据库的运行情况,还可以为MySQL的管理和优化提供必要的信息。 日志管理是维护数据库的重要步骤,所以经常需要在MySQL中进行日志启动、查看、停止和删除等操作。这些操作是数据库管理中最基本、最重要的操作。 日志是数据库的重要组成部分,主要用来记录数据库的运行情况、日常操作和错误信息。 在MySQL中,日志可以分为二进制日志、错误日志、通用查询日志和慢查询日志。对于MySQL的管理
Linux 用户空间审计工具 audit
Vic的博客
05-21 1万+
前言Linux auditd 工具可以将审计记录写入日志文件。包括记录系统调用和文件访问。管理员可以检查这些日志,确定是否存在安全漏洞。本文首先介绍用户空间审计系统的结构,然后介绍主要的 audit 工具的使用方法。Linux 用户空间审计系统简介Linux 内核有用日志记录事件的能力,包括记录系统调用和文件访问。管理员可以检查这些日志,确定是否存在安全漏洞(如多次失败的登录尝试,或者用户对系统文...
信息安全审计系统S-Audit
seacean2000的专栏
02-21 2770
安全审计的概念 安全审计(Security Audit)是指主体对客体的访问及使用情况进行记录和审查,以保证安全规则被正确执行,帮助分析安全事故产生的原因。 安全审计是信息安全保障系统的一个重要组成部分,具体包括两方面的内容:1.采用网络监控和入侵防范系统,识别网络中各种违规操作与攻击行为,及时响应并进行阻断;2.对信息内容和业务流程的审计,可以防止内部机密和敏感信息的非法泄露、单位资产的流失
Linux中audit日志的使用方法
热门推荐
Han的小站
02-27 5万+
auditd服务的安装: 以CentOS6.5为例,使用下面的方法确认auditd服务的安装情况: yumlist audit audit-libs 确认以下两个package是否安装: audit.x86_64
针对系统服务器的安全处理
07-08
6. 安全审计和监控:实施日志记录和监控机制,以便及时检测和响应潜在的安全事件。使用入侵检测系统(IDS)和入侵防御系统(IPS)等工具来监测和阻止恶意活动。 7. 最小权限原则:为每个用户和服务分配最小必要权限...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值