等保一级,自主保护级,一般适用于小型企业、个体企业、县级单位中一般的信息系统。
等保二级,指导保护级,系统遭到破坏会对社会秩序和公共利益造成损害,但不损害国家利益,一般适用于县级单位系统或市级单位内部一般系统。
等保三级,监督保护级,系统遭到破坏会对国家利益造成损害,一般适用于市级单位重要系统,省部委的门户网站等。
等保四级,强制保护级,系统遭到破坏会对国际安全造成严重损害,适用于国家重要部门、重要领域的重要系统,如电力、电信、铁路、银行等。
等保五级,专控保护级,系统遭到破坏会对国家利益造成特别严重的损害,适用于国家重要领域、重要部门中极端重要的系统。
一、等保测评
[root@localhost ~]# service auditd status
[root@localhost ~]# service rsyslog status
====> 显示running为开启服务
-
HDIS:EventLog Analyzer日志管理、审计、分析服务器部署教程(Linux版本):
使用 service eventloganalyzer start启动服务
echo $HISTSIZE 查询设置的条数
vim /etc/profile,修改 HISTSIZE为需要的条数
source /etc/profile //使其立即生效
二、 linux命令
systemctl 可以使用的service路径:/etc/systemd/system/
查看系统服务状态(是否成功启动)
# systemctl status myapp.service -l
1. 将服务设置成开机自启动
# systemctl enable myapp.service
# systemctl list-unit-files|grep myapp
myapp.service enabled
取消开机启动:
# systemctl disable myapp.service
# systemctl list-unit-files|grep myapp
myapp.service disabled
查看服务的控制台日志
相当于tail -f。
# journalctl -flu myapp.service
查看所有的开机启动的项目:
systemctl list-unit-files |grep enabled
三、linux杀毒软件
6 款适用于 Linux 的最佳免费杀毒软件
Linux病毒扫描工具ClamAV(Clam AntiVirus)安装使用
centos 安装ClamAV 杀毒工具并安装离线病毒库
官方文档
3.1 单机不联网运行
mv ./clamd.conf.example ./clamd.conf
配置
vim ./clamd.conf
# Path to a local socket file the daemon will listen on.
# Default: disabled (must be specified by a user)
LocalSocket /tmp/clamd.socket
...
# Sets the permissions on the unix socket to the specified mode.
# Default: disabled (socket is world accessible)
LocalSocketMode 660
启动服务
clamd
3.2 命令扫描
clamav有两个命令:clamdscan、clamscan
clamdscan命令一般用yum安装才能使用,需要启动clamd服务,执行速度快
clamscan命令通用,不依赖服务,命令参数较多,执行速度稍慢
clamdscan:
#service clamd start
用clamdscan扫描,需要开始服务才能使用。速度快,不用带-r,默认会递归扫描子目录
#clamdscan /usr
clamscan:
用clamscan扫描,不需要开始服务就能使用。速度慢,要带-r,才会递归扫描子目录
#clamscan -r /usr
这个命令不仅会显示找到的病毒,正常的扫描文件也会显示出来。
可以用下面这个命令,只显示找到的病毒信息
# clamscan --no-summary -ri /tmp
-r 递归扫描子目录
-i 只显示发现的病毒文件
--no-summary 不显示统计信息
可以写个脚本,用这句命令定期扫描,有返回值即触发告警。
四、EventLog Analyzer日志管理、审计、分析服务器部署教程(Linux版本)
service eventloganalyzer start 启动服务
官方文档
五、Linux文件系统完整性检查系统:Tripwire
TRIPWIRE的安装使用
下载地址:http://sourceforge.net/projects/tripwire/files/
1.rpm -ivh tripwire-2.3.1-22.el4.i386.rpm
2.修改/etc/tripwire/twpol.txt文件,自定义需要监控的文件
如:在文件的最后加入如下内容,关于其中的属性标记可以通过man twpolicy查看
# Test Web GUI File
(
rulename = "Test Web GUI File",
severity = $(SIG_HI)
)
{
/var/www/html/test -> $(SEC_CONFIG) ;
}
3.执行/usr/sbin/tripwire-setup-keyfiles,设置site和local密码,并对配置文件和规则文件进行加密
设置site pass(用于加密twpol.txt和twcfg.txt),在/etc/tripwire目录下产生site.key
设置local pass(用于加密指纹数据库时使用),在/etc/tripwire目录下产生
H
O
S
T
N
A
M
E
−
l
o
c
a
l
.
k
e
y
(如
m
a
i
l
.
t
e
s
t
.
c
o
m
−
l
o
c
a
l
.
k
e
y
)
4.
t
r
i
p
w
i
r
e
−
−
i
n
i
t
建立指纹数据库
,
期间会提示输入
l
o
c
a
l
p
a
s
s
密码在
/
v
a
r
/
l
i
b
/
t
r
i
p
w
i
r
e
/
目录下生成
HOSTNAME-local.key(如mail.test.com-local.key) 4.tripwire --init 建立指纹数据库,期间会提示输入local pass密码 在/var/lib/tripwire/目录下生成
HOSTNAME−local.key(如mail.test.com−local.key)4.tripwire−−init建立指纹数据库,期间会提示输入localpass密码在/var/lib/tripwire/目录下生成HOSTNAME.twd文件(即指纹数据库文件,如mail.test.com.twd)
5.tripwire --check --interactive
对比指纹数据库,检查系统是否进行了改动,最后会显示报告清单
2021
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
