linux服务器安全审计怎么弄,第1张

材料:

Linux审计系统auditd 套件

步骤:

安装 auditd

REL/centos默认已经安装了此套件,如果你使用ubuntu server,则要手工安装它:

sudo apt-get install auditd

它包括以下内容:

auditctl : 即时控制审计守护进程的行为的工具,比如如添加规则等等。

/etc/audit/auditrules : 记录审计规则的文件

aureport : 查看和生成审计报告的工具。

ausearch : 查找审计事件的工具

auditspd : 转发事件通知给其他应用程序,而不是写入到审计日志文件中。

autrace : 一个用于跟踪进程的命令。

/etc/audit/auditdconf : auditd工具的配置文件。

Audit 文件和目录访问审计

首次安装 auditd 后, 审计规则是空的。可以用 sudo auditctl -l 查看规则。文件审计用于保护敏感的文件,如保存系统用户名密码的passwd文件,文件访问审计方法:

sudo auditctl -w /etc/passwd -p rwxa

-w path : 指定要监控的路径,上面的命令指定了监控的文件路径 /etc/passwd

-p : 指定触发审计的文件/目录的访问权限

rwxa : 指定的触发条件,r 读取权限,w 写入权限,x 执行权限,a 属性(attr)

目录进行审计和文件审计相似,方法如下:

$ sudo auditctl -w /production/

以上命令对/production目录进行保护。

查看审计日志

添加规则后,我们可以查看 auditd 的日志。使用 ausearch 工具可以查看auditd日志。

sudo ausearch -f /etc/passwd

-f 设定ausearch 调出 /etc/passwd文件的审计内容

4 查看审计报告

以上命令返回log如下:

time->Mon Dec 22 09:39:16 2016

type=PATH msg=audit(1419215956471:194): item=0 name="/etc/passwd"

inode=142512 dev=08:01 mode=0100644 ouid=0 ogid=0 rdev=00:00 nametype=NORMAL

type=CWD msg=audit(1419215956471:194): cwd="/home/somebody"

type=SYSCALL msg=audit(1419215956471:194): arch=40000003 syscall=5 

success=yes exit=3 a0=b779694b a1=80000 a2=1b6 a3=b8776aa8 items=1 ppid=2090 pid=2231 auid=4294967295 uid=1000 gid=1000 euid=0 suid=0 fsuid=0 egid=1000 sgid=1000 fsgid=1000 tty=pts0 ses=4294967295

comm="sudo" exe="/usr/bin/sudo" key=(null)

time : 审计时间。

name : 审计对象

cwd : 当前路径

syscall : 相关的系统调用

auid : 审计用户ID

uid 和 gid : 访问文件的用户ID和用户组ID

comm : 用户访问文件的命令

exe : 上面命令的可执行文件路径

以上审计日志显示文件未被改动。

unix安全审计的主要技术手段如下:

1、文件完整性审计:有时候文件系统完整性审计工具是确保系统没有被入侵的唯一办法。

2、用户弱口令审计:定期对域控账号的弱口令进行审计,及时发现使用了脆弱密码的员工账号。

3、安全补丁审计:补丁虚拟系会明确说明如何从空文件修改后变成 txt 文件,打补丁即可成功。

4、端口审计:定期对服务器进行扫描,将危险端口有开放的服务器记录日志或通过邮件、微信告警出来。

5、进程审计:审计进程是指审计人员在具体的审计过程中采取的行动和步骤。 广义的审计进程是指审计人员从接受审计项目开始,到审计工作结束的全部过程,一般可划分为三个阶段:审计准备、审计实施和审计终结阶段。

6、系统日志审计:日志审计系统是用于全面收集企业 IT 系统中常见的安全设备、网络设备、数据库、服务器、应用系统、主机等设备所产生的日志(包括运行、告警、操作、消息、状态等)并进行存储、监控、审计、分析、报警、响应和报告的系统。

unix安全审计的步骤

1、分析现状:对现行安全措施进行深入的分析,包括审计对象的软件、硬件和非技术的安全措施。

2、收集信息:获取系统需要进行审计的各项信息,如企业产品、服务、安全措施等。

3、识别问题:综合上述信息,识别企业信息系统可能存在的安全问题,包括软件、硬件、网络等。

4、提出建议:根据识别到的安全问题,提出消除安全风险的建议,提升企业信息系统的安全性。

5、审计报告:经过上述步骤,完成审计工作,为企业安全提供可靠的信息,并上报汇总的审计报告。

1、想要设置共享文件多用户访问,首先要创建多个用户。在电脑桌面找到计算机,在其上方点击右键,在弹出的菜单中点击管理。

2、在服务器管理器窗口中依次点击展开配置—本地用户和组—用户,在右侧窗口空白处点击右键,在弹出的菜单中点击新用户。

3、根据提示输入用户名和密码,点击创建,新用户创建完成。这里小编建议根据实际使用人的名称或者工号来进行创建,方便后期管理。

4、多名新用户创建完成后,在需要设置多用户访问的共享文件上方点击右键,在弹出的菜单中点击属性。

5、在属性窗口上方点击安全,在安全选项卡下方点击编辑,在弹出的窗口中点击添加。

6、在本地用户或组中点击高级,在弹出的窗口中点击立刻查找,在下方搜索结果中选中刚刚新建的用户中的任意一个,然后依次点击确定返回。

7、在权限中勾选允许读取和执行,其他权限根据需要勾选即可,然后依次点击确定返回。其他的用户通过上述方法一样的一个个添加进去并设置好权限即可。

DABAN RP主题是一个优秀的主题,极致后台体验,无插件,集成会员系统
网站模板库 » linux服务器安全审计怎么弄

0条评论

发表评论

提供最优质的资源集合

立即查看 了解详情