有关设备和中间件未启用安全审计功能,未对重要用户行为、安全事件进行审计

于 2024-05-18 09:19:09 发布
阅读量262 收藏 3
点赞数 5
分类专栏: 服务器配置 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u014196765/article/details/139017165
版权
有关设备和中间件未启用安全审计功能,未对重要用户行为、安全事件进行审计建议启用设备或系统的安全审计功能,设置合理的安全审计规则。审计范围应覆盖所有用户,审计内容或事项应包括重要的用户行为和重要安全事件。

解决方案

在 CentOS 系统中启用安全审计功能并配置审计规则,可以使用 auditd 服务。auditd 是 Linux 审计框架的一部分,用于记录系统的安全相关事件。以下是详细的步骤:

1. 安装 auditd

首先,确保 auditd 已安装。如果未安装,可以使用以下命令进行安装:

sudo yum install audit

2. 启用并启动 auditd 服务

启用并启动 auditd 服务:

sudo systemctl enable auditd
sudo systemctl start auditd

3. 配置审计规则

审计规则可以通过编辑 /etc/audit/audit.rules 文件来配置。以下是一些示例规则:

# 记录所有用户登录和注销事件
-w /var/log/lastlog -p wa -k logins

# 记录所有用户的命令执行
-w /usr/bin/sudo -p x -k sudo

# 记录对重要系统文件的访问
-w /etc/passwd -p wa -k passwd_changes
-w /etc/shadow -p wa -k shadow_changes

# 记录对系统时间的修改
-a always,exit -F arch=b64 -S adjtimex -S settimeofday -k time_change
-a always,exit -F arch=b64 -S clock_settime -k time_change
-a always,exit -F arch=b32 -S adjtimex -S settimeofday -S stime -S clock_settime -k time_change

# 记录对网络配置的修改
-w /etc/hosts -p wa -k network_changes
-w /etc/sysconfig/network -p wa -k network_changes

# 记录对系统启动和关闭的事件
-w /var/log/wtmp -p wa -k logins

4. 重启 auditd 服务

在修改完审计规则后,需要重启 auditd 服务以使更改生效:

sudo systemctl restart auditd

5. 查看审计日志

审计日志默认保存在 /var/log/audit/audit.log 文件中。可以使用 ausearchaureport 工具来查看和分析审计日志。例如:

# 查看所有登录事件
sudo ausearch -k logins

# 生成审计报告
sudo aureport -au

6. 设置审计日志轮转

为了防止审计日志文件过大,可以配置日志轮转。编辑 /etc/audit/auditd.conf 文件,设置适当的日志轮转策略。例如:

max_log_file = 8
num_logs = 5

这将设置每个日志文件的最大大小为 8MB,并保留 5 个轮转日志文件。

总结

通过以上步骤,你可以在 CentOS 系统中启用并配置安全审计功能,记录重要的用户行为和安全事件。根据具体需求,可以进一步调整审计规则和日志轮转策略。

关注下面公众号,回复微信,可定制服务器一键配置.sh,节省配置服务器时间。

小~小
关注
  • 5
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
linux查看是否开启审计功能,linux审计功能auditd
weixin_39736547的博客
05-15 2413
安全防护是首先要考虑的问题。为了避免别人盗取我们的数据,我们需要时刻关注它。安全防护包括很多东西,我们知道auditd的审计工具。这个工具在大多数Linux操作系统中是默认安装的。那么auditd 是什么?该如何使用呢?下面我们开始介绍。什么是auditd?auditd(或 auditd 守护进程)是Linux审计系统中用户空间的一个组件,其负责将审计记录写入磁盘。安装 auditdUbuntu...
网络安全测评
ada的博客
07-06 1372
网络安全测评一、网络安全测评概述二级目录三级目录 一、网络安全测评概述 二级目录 三级目录
Windows开启安全审计功能
yyzbingyue的博客
07-26 1万+
打开控制面板—管理工具—本地安全策略—本地策略—审核策略,右键属性勾选成功、失败,最好点击应用。
windows操作系统没有开启安全审核策略引发的威胁
互联网叫兽
09-29 4819
一、建议处置措施: (1)要求: Windows操作系统下,打开控制面板-管理工具-本地安全策略-本地策略-审核策略,(开始–搜索“运行”secpol.msc,同样打开“本地安全策略”)对所有的审核策略均设置为成功和失败。 (2)操作步骤: ...
Linux MySQL5.7数据库已开启安全审计功能审计范围已覆盖每个用户,但重要用户行为进行审计。开启慢查询日志
xtaypyvi123456的博客
06-14 1730
数据库已开启安全审计功能审计范围已覆盖每个用户,但重要用户行为进行审计
mysql5.7版本开启数据库日志审计功能
Jepson的博客
01-09 7450
数据库版本:mysql5.7 (linux系统) 数据库日志审计功能插件:server_audit.so (下载mariadb-5.5.68-linux-x86_64.tar.gz,解压后获取mariadb-5.5.68-linux-x86_64/lib/plugin/server_audit.so) 部署方法: 1.登录MySQL,执行以下命令获取MySQL的plugin目录: SHOW GLOBAL VARIABLES LIKE '%plugin_dir%'; 如下图: 2.将 server_aud
服务中间件加固,防火墙加固,日志安全管理
04-20
### 服务中间件加固 #### IIS安全加固 ...以上是对服务中间件安全加固的一些关键点和技术细节。这些措施旨在提高系统的安全性,减少受到攻击的风险。每项技术的具体实施细节还需根据实际环境进行调整。
二级等保主机安全测评作业指导书-中间件Tomcat.pdf
07-11
通过对“二级等保主机安全测评作业指导书-中间件Tomcat.pdf”的分析可以看出,为了确保中间件安全性,必须从身份鉴别、访问控制和安全审计等多个方面进行全面评估。这不仅涉及到具体的配置细节,还需要综合考虑...
centos7 的中间件如何启用审计策略
06-13
2. 启用审计服务: ``` systemctl enable auditd.service systemctl start auditd.service ``` 3. 修改审计规则: 可以通过修改`/etc/audit/audit.rules`文件来添加审计规则。例如,要监视对`/etc/passwd`文件的...
tomcat安全加固手册
最新发布
05-09
启用详细的日志记录功能有助于追踪安全事件,并且可以帮助后续的安全审计工作。取消`conf/logging.properties`中的日志配置注释即可启用日志记录功能。 **7. 禁止列出目录** 为了防止经授权的用户查看目录列表,...
Tomcat 服务器的安全设置
Beret-81的博客
03-11 565
一、Tomcat 服务器的安全设置 1、Tomcat简单介绍: Tomcat 是一个小型的轻量级应用服务器,在中小型系统和并发访问用户不是很多的场合下被普遍使用,是开放和调试Jsp 程序的首选。 2、Tomcat 服务器启动的权限 tomcat启动用户权限必须为非root权限,尽量减低tomcat启动用户的目录访问权限。 如需直接对外使用80端口,可通过普通账户启动后,配置iptables ...
Linux安全auditd审计工具使用说明
月生的静心苑
11-28 6488
audit 我们可以使用auditctl临时配置规则,服务重启失效,如果需要配置永久生效,我们需要将规则写入到配置文件中。auditd审计规则分成三个部分,控制规则:这些规则用于更改审计系统本身的配置和设置。文件系统规则:这些是文件或目录监视。使用这些规则,我们可以审核对特定文件或目录的任何类型的访问。系统调用规则:这些规则用于监视由任何进程或特定用户进行的系统调用。使用 ausearch ,您可以过滤和搜索事件类型。它还可以通过将数值转换为更加直观的值(如系统调用或用户名)来解释事件。
日志审计策略配置audit
weixin_33742618的博客
01-12 2595
日志审计策略配置1. 系统缺省已经开启syslog/rsyslog服务,禁止关闭。系统syslog/rsyslog服务会将所有系统日志自动记录到/var/log/messages文件中,系统日志永久保留。2. 开启audit审计功能,可以监控指定用户或目录,缺省会监控root的所有登录和操作。l 添加规则到 /etc/audit/audit.rules(RHEL7为...
linux audit 日志 查看用户_一项一项教你测等保2.0——Linux安全审计
weixin_39526872的博客
11-28 1765
一、前言前边我们已经讲了windows系统下的安全审计,现在我们讲讲Linux系统下的安全审计,其实两个系统下的测评项都是一样的,不一样的就是不同的系统查看系统配置的方法不一样,windows系统使用的都是图形交互界面,而且我们平时使用windows系统比较多,查找起来比较方便,Linux系统是要使用命令来查看系统配置的,需要有一些Linux系统命令的基础,当然也都比较简单,现在就让我们来看看Li...
启用安全审计功能审计覆盖到每个用户,对重要用户行为重要安全事件进行审计
优美模板
05-25 7313
描述   开启审核策略,对重要用户行为重要安全事件进行审计 检查提示   -- 加固建议   在管理工具打开本地安全策略,打开路径:安全设置\本地策略\审核策略,将全部审核策略配置为:成功,失败。包括审核策略更改、审核对象访问、审核进程跟踪、审核目录服务访问、审核账户登陆事件、审核特权使用、审核系统事件、审核账户管理、审核登陆事件共九项。   操作时建议做好记录或备份 安全服...
MySQL数据库启用安全审计功能
孑木文学的博客
12-10 6596
数据库审计(简称DBAudit)能够实时记录网络上的数据库活动,对数据库操作进行细粒度审计的合规性管理,对数据库遭受到的风险行为进行告警,对攻击行为进行阻断。它通过对用户访问数据库行为的记录、分析和汇报,用来帮助用户事后生成合规报告、事故追根溯源,同时加强内外部数据库网络行为记录,提高数据资产安全。数据库审计可以记录某用户在某个时间点对数据库的操作,包括登录、连接、对表的增删改查等等,便于责任追溯,问题查找,当然开启审计功能在一定方面会影响数据库性能。
计算机操作系统开启审计功能,深入浅出理解操作系统安全
weixin_39520210的博客
07-16 2180
原标题:深入浅出理解操作系统安全引言操作系统安全在计算机信息系统的整体安全性中具有至关重要的作用,没有操作系统提供的安全性,计算机业务系统的安全性是没有基础的。什么是操作系统操作系统(英语:operating system,缩写:OS)是管理计算机硬件与软件资源的计算机程序,同时也是计算机系统的内核与基石。操作系统需要处理如管理与配置内存、决定系统资源供需的优先次序、控制输入与输出设备、操作网络与...
Oracle11g数据库审计功能的关闭和开启
热门推荐
shimadear的博客
07-08 1万+
在oracle11g中,数据库的审计功能是默认开启的(这和oracle10g的不一样,10g默认是关闭的)。 1.查看审计功能是否开启: audit_trail 的value值为NONE表示不开启; audit_trail 的value值为FALSE表示不开启; audit_trail 的value值为DB表示开启; audit_trail 的value值为TURE表示开启; audit_...
mysql 审计 linux 开启_MySQL 对普通用户(没有super)开启审计功能
weixin_42509398的博客
01-19 515
最近有发现有坏蛋delete 了数据,找不到是哪个user 哪个host,发现MySQL 是可以对没有super 权限的用户开启审计功能,Oracle早就实现了,只需要打开参数即可。1.在my.cnf [mysqld]组下加入init-connect='insert intoaduit.accesslog(id,time,localname,matchname)values(connection_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小~小

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值