audit审计监控文件加固常见的服务

审计工具有很多，每个公司都有，有些是自己开发，有些是用开源软件

 

 

audit  一但开了是关不了的，是随系统启动的

系统自带软件 最小化安装也会被安装， 除非是kist  %???? 

什么是auditd？

auditd（或 auditd 守护进程）是Linux审计系统中用户空间的一个组件，其负责将审计记录写入磁盘。

 

[root@porxy ~]# rpm -q audit

audit-2.7.6-3.el7.x86_64

[root@porxy ~]# systemctl  stop auditd

Failed to stop auditd.service: Operation refused, unit auditd.service may be requested by dependency only (it is configured to refuse manual start/stop).

See system logs and 'systemctl status auditd.service' for details.

 

 

审计的目的是基于事先配置的规则生成日志，记录可能发生在系统上的事件（正常或非正常行为的事件），审计不会为系统提供额外的安全保护，但她会发现并记录违反安全策略的人及其对应的行为。

1.使用audit监控/etc/ssh/sshd_config

2.当该文件发生任何变化即记录日志

3.通过手动和ausearch工具查看日志内容

 

审计能够记录的日志内容：

a) 日期与事件以及事件的结果

b) 触发事件的用户

c) 所有认证机制的使用都可以被记录，如ssh等

d) 对关键数据文件的修改行为等都可以被记录————自己定义

选项 :

• -w path : 指定要监控的路径，上面的命令指定了监控的文件路径 /etc/passwd
• -p : 指定触发审计的文件/目录的访问权限
• rwxa ： 指定的触发条件，r 读取权限，w 写入权限，x 执行权限，a 属性（attr）

[root@porxy ~]# vim /etc/audit/auditd.conf

log_file = /var/log/audit/audit.log

2）配置审计规则

 

[root@porxy ~]# auditctl  -s

enabled 1

failure 1

pid 644

rate_limit 0

backlog_limit 8192

lost 0

backlog 0

loginuid_immutable 0 unlocked

[root@porxy ~]# auditctl  -l

No rules

 

[root@porxy ~]# auditctl  -D

No rules

 

定义临时文件系统规则：

 

1. #语法格式：auditctl -w path -p permission -k key_name
2. # path为需要审计的文件或目录
3. # 权限可以是r,w,x,a(文件或目录的属性发生变化)
4. # Key_name为可选项，方便识别哪些规则生成特定的日志项
5. [root@proxy ~]# auditctl -w /etc/passwd -p wa -k passwd_change
6. //设置规则所有对passwd文件的写、属性修改操作都会被记录审计日志
7. [root@proxy ~]# auditctl -w /etc/selinux/ -p wa -k selinux_change
8. //设置规则，监控/etc/selinux目录
9. [root@proxy ~]# auditctl -w /usr/sbin/fdisk -p x -k disk_partition
10. //设置规则，监控fdisk程序
11. [root@proxy ~]# auditclt -w /etc/ssh/sshd_conf -p warx -k sshd_config
12. //设置规则，监控sshd_conf文件
13. 文件的监控

临时监控和永久监控

[root@porxy ~]# auditctl -w /etc/ssh/ssh_config -p rwxa -k ssh_config [root@porxy ~]# auditctl -l -w /etc/ssh/ssh_config -p rwxa -k ssh_config [root@porxy ~]# auditctl -w /etc/passwd -p wa -k passwd_chang

[root@porxy ~]# auditctl  -l

-w /etc/ssh/ssh_config -p rwxa -k ssh_config

-w /etc/passwd -p wa -k passwd_chang

 

[root@porxy ~]# vim /etc/audit/rules.d/audit.rules

[root@porxy ~]# tailf  /var/log/audit/audit.log 

[root@porxy ~]# cat /etc/ssh/sshd_config 

 

看日志的内容，以及日志内容分析

vim  /var/log/audit/audit.log

[root@porxy ~]# ausearch  -k ssh_config -i

----

type=CONFIG_CHANGE msg=audit(2018年07月03日 10:12:41.281:161) : auid=root ses=1 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 op=add_rule key=ssh_config list=exit res=yes 

 

 

日志查询
设置了监控后，会在/var/log/audit/audit.log里出现日志。
可以用此命令查看日志：
ausearch -f /etc/passwd -x rm
-k  利用auditctl指定的key查询
-x  执行程序
# ausearch -ts today -k password-file
# ausearch -ts 3/12/07 -k password-file
-ts 指定时间后的log (start time)
-te 指定时间前的log (end time)

 

 

下面开始解读输出结果。

• time : 审计时间。
• name : 审计对象
• cwd : 当前路径
• syscall : 相关的系统调用
• auid : 审计用户ID
• uid 和 gid : 访问文件的用户ID和用户组ID
• comm : 用户访问文件的命令
• exe : 上面命令的可执行文件路径

 

nginx的版本和已经安装的模块   是v和V的区别

 

一。nginx的关闭版本号屏蔽

Nignx是模块化设计的软件，需要什么功能与模块以及不需要哪些模块，都可以在编译安装软件时自定义，使用--with参数可以开启某些模块，使用--without可以禁用某些模块。最小化安装永远都是对的方案！

1.） 修改版本信息，并隐藏具体的版本号

默认Nginx会显示版本信息以及具体的版本号，这些信息给攻击者带来了便利性，便于他们找到具体版本的漏洞。

如果需要屏蔽版本号信息，执行如下操作，可以隐藏版本号。

1.修改配置文件

2.命令测试

 

3） 限制并发量

DDOS攻击者会发送大量的并发连接，占用服务器资源（包括连接数、带宽等），这样会导致正常用户处于等待或无法访问服务器的状态。

Nginx提供了一个ngx_http_limit_req_module模块，可以有效降低DDOS攻击的风险，操作方法如下：

1. [root@proxy ~]# vim /usr/local/nginx/conf/nginx.conf
2. … …
3. http{
4. … …
5. limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s;
6.     server {
7.         listen 80;
8.         server_name localhost;
9.         limit_req zone=one burst=5;
10.     }
11. }
12. //备注说明：
13. //limit_req_zone语法格式如下：
14. //limit_req_zone key zone=name:size rate=rate;
15. //上面案例中是将客户端IP信息存储名称为one的共享内存，内存空间为10M
16. //1M可以存储8千个IP信息，10M可以存储8万个主机连接的状态，容量可以根据需要任意调整
17. //每秒中仅接受1个请求，多余的放入漏斗
18. //漏斗超过5个则报错
19. [root@proxy ~]# /usr/local/nginx/sbin/nginx -s reload

客户端使用ab测试软件测试效果：

1. [root@client ~]# ab -c 100 -n 100 http://192.168.4.5/    ————小细节 后面没有 /会出现报错

 

） 拒绝非法的请求

网站使用的是HTTP协议，该协议中定义了很多方法，可以让用户连接服务器，获得需要的资源。但实际应用中一般仅需要get和post。

具体HTTP请求方法的含义如表-1所示。

 

nginx的常见的安全配置还有那些

1.限制ip访问     2.控制超时时间   3.限制下载并发速度 4.卸载不需要模块  5.防盗链设计  6. 自定义信息 7.隐藏nginx的服务信息头  7.补丁更新

4） 拒绝非法的请求

网站使用的是HTTP协议，该协议中定义了很多方法，可以让用户连接服务器，获得需要的资源。但实际应用中一般仅需要get和post。

具体HTTP请求方法的含义如表-1所示。

未修改服务器配置前，客户端使用不同请求方法测试：

1. [root@client ~]# curl -i -X GET http://192.168.4.5            //正常
2. [root@client ~]# curl -i -X HEAD http://192.168.4.5            //正常
3. //curl命令选项说明：
4. //-i选项：访问服务器页面时，显示HTTP的头部信息
5. //-X选项：指定请求服务器的方法

通过如下设置可以让Nginx拒绝非法的请求方法：

1. [root@proxy ~]# vim /usr/local/nginx/conf/nginx.conf
2. http{
3. server {
4.      listen 80;
5. #这里，!符号表示对正则取反，~符号是正则匹配符号
6. #如果用户使用非GET或POST方法访问网站，则retrun返回444的错误信息
7. if ($request_method !~ ^(GET|POST)$ ) {
8. return 444;
9. }    
10. }
11. }
12. [root@proxy ~]# /usr/local/nginx/sbin/nginx -s reload

修改服务器配置后，客户端使用不同请求方法测试：

1. [root@client ~]# curl -i -X GET http://192.168.4.5            //正常
2. [root@client ~]# curl -i -X HEAD http://192.168.4.5            //报错

4） 防止buffer溢出

当客户端连接服务器时，服务器会启用各种缓存，用来存放连接的状态信息。

如果攻击者发送大量的连接请求，而服务器不对缓存做限制的话，内存数据就有可能溢出（空间不足）。

修改Nginx配置文件，调整各种buffer参数，可以有效降低溢出风险。

1. [root@proxy ~]# vim /usr/local/nginx/conf/nginx.conf
2. http{
3. client_body_buffer_size 1K;
4. client_header_buffer_size 1k;
5. client_max_body_size 1k;
6. large_client_header_buffers 2 1k;
7. … …
8. }
9. [root@proxy ~]# /usr/local/nginx/sbin/nginx -s reload

步骤二：数据库安全

1） 初始化安全脚本

安装完MariaDB或MySQL后，默认root没有密码，并且提供了一个任何人都可以操作的test测试数据库。有一个名称为mysql_secure_installation的脚本，该脚本可以帮助我们为root设置密码，并禁止root从远程其他主机登陆数据库，并删除测试性数据库test。

1. [root@proxy ~]# systemctl status mariadb
2. //确保服务已启动
3. [root@proxy ~]# mysql_secure_installation
4. //执行初始化安全脚本

2）密码安全

手动修改MariaDB或MySQL数据库密码的方法：

1. [root@proxy ~]# mysqladmin -uroot -predhat password 'mysql'
2. //修改密码，旧密码为redhat，新密码为mysql
3. [root@proxy ~]# mysql -uroot -pmysql
4. MariaDB [(none)]>set password for root@'localhost'=password('redhat')
5. //使用账户登录数据库，修改密码
6. MariaDB [(none)]> select user,host,password from mysql.user;
7. +--------+---------+---------------------------------------------+
8. | user     | host | password |
9. +--------+---------+---------------------------------------------+
10. | root     | localhost     | *84BB5DF4823DA319BBF86C99624479A198E6EEE9 |
11. | root     | 127.0.0.1     | *84BB5DF4823DA319BBF86C99624479A198E6EEE9 |
12. | root     | ::1     | *84BB5DF4823DA319BBF86C99624479A198E6EEE9 |
13. +--------+-----------+--------------------------------------------+

2.修改密码成功，而且密码在数据库中是加密的，有什么问题吗？问题是你的密码被明文记录了，下面来看看名为密码：

1. [root@proxy ~]# cat .bash_history
2. mysqladmin -uroot -pxxx password 'redhat'
3. //通过命令行修改的密码，bash会自动记录历史，历史记录中记录了明文密码
4. [root@proxy ~]# cat .mysql_history
5. set password for root@'localhost'=password('redhat');————密码要用‘’起来，不打分号可以下一行
6. select user,host,password from mysql.user;—-这是存放帐号和密码，主机的表
7. flush privileges;
8. //通过mysql命令修改的密码，mysql也会有所有操作指令的记录，这里也记录了明文密码

以上是工作当中给mysql改密码的常用方法，但是都不安全。在命令行输入都有历史记录

在数据库里打的命令也不安全   ls  -A  就可以看到 .mysql_history   一定要清历史记录  history  -c

 

另外数据库还有一个binlog日志里也有明文密码（5.6版本后修复了）。

怎么解决？

管理好自己的历史，不使用明文登录，选择合适的版本5.6以后的版本，

日志，行为审计（找到行为人），使用防火墙从TCP层设置ACL（禁止外网接触数据库）。

3）数据备份与还原

首先，备份数据库（注意用户名为root，密码为redhat）：

1. [root@proxy ~]# mysqldump -uroot -predhat mydb table > table.sql
2. //备份数据库中的某个数据表
3. [root@proxy ~]# mysqldump -uroot -predhat mydb > mydb.sql
4. //备份某个数据库
5. [root@proxy ~]# mysqldump -uroot -predhat --all-databases > all.sql
6. //备份所有数据库————用户和密码不要有空格，不然会出现报错

接下来，还原数据库（注意用户名为root，密码为redhat）：

1. [root@proxy ~]# mysql -uroot -predhat mydb <</span> table.sql            //还原数据表
2. [root@proxy ~]# mysql -uroot -predhat mydb <</span> mydb.sql            //还原数据库
3. [root@proxy ~]# mysql -uroot -predhat <</span> all.sql                    //还原所有数据库

光盘的数据库版本是比较久，新的要到mysql官网下载

4）数据安全

在服务器上（192.168.4.5），创建一个数据库账户：

1. [root@proxy ~]# mysql -uroot -predhat
2. //使用管理员，登陆数据库
3. MariaDB [(none)]> grant all on *.* to tom@'%' identified by '123';
4. //创建一个新账户tom

使用tcpdump抓包（192.168.4.5）

1. [root@proxy ~]# tcpdump -w log -i any src or dst port 3306
2. //抓取源或目标端口是3306的数据包，保存到log文件中

客户端（192.168.4.100）从远程登陆数据库服务器（192.168.4.5）

1. [root@client ~]# mysql -utom -p123 -h 192.168.4.5
2. //在192.168.4.100这台主机使用mysql命令登陆远程数据库服务器（192.168.4.5）
3. //用户名为tom，密码为123
4. MariaDB [(none)]> select * from mysql.user;
5. //登陆数据库后，任意执行一条查询语句

回到服务器查看抓取的数据包

1. [root@proxy ~]# tcpdump -A -r log
2. //使用tcpdump查看之前抓取的数据包，很多数据库的数据都明文显示出来

如何解决？

可以使用SSH远程连接服务器后，再从本地登陆数据库（避免在网络中传输数据，因为网络环境中不知道有没有抓包者）。

或者也可以使用SSL对MySQL服务器进行加密，类似与HTTP+SSL一样，MySQL也支持SSL加密（确保网络中传输的数据是被加密的）。

Tomcat安全性

1） 隐藏版本信息、修改tomcat主配置文件（隐藏版本信息）

未修改版本信息前，使用命令查看服务器的版本信息

注意：proxy有192.168.2.5的IP地址，这里使用proxy作为客户端访问192.168.2.100服务器。

1. [root@proxy ~]# curl -I http://192.168.2.100:8080/xx        
2. //访问不存在的页面文件，查看头部信息
3. [root@proxy ~]# curl -I http://192.168.2.100:8080    
4. //访问存在的页面文件，查看头部信息
5. [root@proxy ~]# curl http://192.168.2.100:8080/xx
6. //访问不存在的页面文件，查看错误信息

修改tomcat配置文件，修改版本信息(在192.168.2.100操作)：

1. [root@web1 tomcat]# yum -y install java-1.8.0-openjdk-devel
2. [root@web1 tomcat]# cd /usr/local/tomcat/lib/
3. [root@web1 lib]# jar -xf catalina.jar
4. [root@web1 lib]# vim org/apache/catalina/util/ServerInfo.properties
5. //根据自己的需要，修改版本信息的内容
6. [root@web1 lib]# /usr/local/tomcat/bin/shutdown.sh        //关闭服务
7. [root@web1 lib]# /usr/local/tomcat/bin/startup.sh        //启动服务

修改后，客户端再次查看版本信息（在192.168.2.5操作）：

1. [root@proxy ~]# curl -I http://192.168.2.100:8080/xx        
2. //访问不存在的页面文件，查看头部信息
3. [root@proxy ~]# curl -I http://192.168.2.100:8080    
4. //访问存在的页面文件，查看头部信息
5. [root@proxy ~]# curl http://192.168.2.100:8080/xx
6. //访问不存在的页面文件，查看错误信息

再次修改tomcat服务器配置文件，修改版本信息，手动添加server参数（在192.168.2.100操作）：

1. [root@web1 lib]# vim /usr/local/tomcat/conf/server.xml
2. <</span>Connector port="8080" protocol="HTTP/1.1"
3. connectionTimeout="20000" redirectPort="8443" server="jacob" />
4. [root@web1 lib]# /usr/local/tomcat/bin/shutdown.sh        //关闭服务
5. [root@web1 lib]# /usr/local/tomcat/bin/startup.sh        //启动服务

 

修改后,客户端再次查看版本信息（在192.168.2.5操作）：

1. [root@proxy ~]# curl -I http://192.168.2.100:8080/xx        
2. //访问不存在的页面文件，查看头部信息
3. [root@proxy ~]# curl -I http://192.168.2.100:8080    
4. //访问存在的页面文件，查看头部信息
5. [root@proxy ~]# curl http://192.168.2.100:8080/xx
6. //访问不存在的页面文件，查看错误信息

2）降级启动

默认tomcat使用系统高级管理员账户root启动服务，启动服务尽量使用普通用户。

1. [root@web1 ~]# useradd tomcat
2. [root@web1 ~]# chown -R tomcat:tomcat /usr/local/tomcat/
3. //修改tomcat目录的权限，让tomcat账户对该目录有操作权限
4. [root@web1 ~]# su -c /usr/local/tomcat/bin/startup.sh tomcat
5. //使用su命令切换为tomcat账户，以tomcat账户的身份启动tomcat服务
6. [root@web1 ~]# chmod +x /etc/rc.local                //该文件为开机启动文件
7. [root@web1 ~]# vim /etc/rc.local                     //修改文件，添加如下内容
8. su -c /usr/local/tomcat/bin/startup.sh tomcat

3）删除默认的测试页面

1. [root@web1 ~]# rm -rf /usr/local/tomcat/webapps/*

 

 

[root@porxy ~]# ps aux | grep tomcat

root     17664  0.0  0.0 112676   984 pts/0    R+   16:47   0:00 grep --color=auto tomcat