监控配置包括linux cpu、内存、磁盘、网口、usb拔插、代码程序,基线核查,操作命令(这里以redhat6.8为例)
- Linux syslog配置
vim /etc/rsyslog.conf
厂站抓包验证syslog是否正确配置
- 利用snmpwalk工具验证验证snmp配置
snmpwalk -v 2c -c public 172.16.140.156 1.3.6.1.2.1.25.2.3.1.6
snmpwalk -v 2c -c public 172.16.140.156 1.3.6.1.2.1.25.2.3.1.5
snmpwalk -v 2c -c public 172.16.140.156 1.3.6.1.2.1.25.3.3.1.2
3. 核查账户免密登入配置
注:Linux创建tsgzAuditor账户,这里赋予root组,核查账户权限按实际分配,仅供参考
将装置公钥写入被监控linux主机tsgzAuditor账户authorized_keys
scp -p /root/.ssh/id_rsa.pub tsgzAuditor@172.16.140.156:/home/tsgzAuditor/.ssh/authorized_keys
厂站验证tsgzAuditor账户免密登入
厂站配置审计用户
- linux cpu、内存、磁盘采集(snmp周期采集)
- usb接入拔出
插拔U盘:
- linux网口插拔
注:(syslog范式化:步骤同usb)
- linux ssh登入成功,登入失败,退出登入
注:(syslog范式化:步骤同usb)
- 操作命令
原理:syslog范式化成功匹配的linux 退出时,以审计用户免密登入被监控主机,按历史命令路径取内容上送Event(目前暂时还有缺陷:待定)
配置审计用户(已配置免密登入)和操作命令路径
- 基线核查
V2.3.0.1之前版本:
先验证基线脚本,可以手动执行基线核查
/isg3000/baseline/script/操作系统/linux/bs_script
perl login.pl linux linux.ex 172.16.140.156 22 ssh tsgzAuditor 123456 0 0/root/.ssh/id_rsa /root/1
重启logd一般,开启程序会执行一次基线核查