linux服务器安全审计怎么弄

材料：

Linux审计系统auditd 套件

安装 auditd

REL/centos默认已经安装了此套件，如果你使用ubuntu server，则要手工安装它：

sudo apt-get install auditd

它包括以下内容：

auditctl : 即时控制审计守护进程的行为的工具，比如如添加规则等等。

/etc/audit/auditrules : 记录审计规则的文件。

aureport : 查看和生成审计报告的工具。

ausearch : 查找审计事件的工具

auditspd : 转发事件通知给其他应用程序，而不是写入到审计日志文件中。

autrace : 一个用于跟踪进程的命令。

/etc/audit/auditdconf : auditd工具的配置文件。

Audit 文件和目录访问审计

首次安装 auditd 后, 审计规则是空的。可以用 sudo auditctl -l 查看规则。文件审计用于保护敏感的文件，如保存系统用户名密码的passwd文件，文件访问审计方法：

sudo auditctl -w /etc/passwd -p rwxa

-w path : 指定要监控的路径，上面的命令指定了监控的文件路径 /etc/passwd

-p : 指定触发审计的文件/目录的访问权限

rwxa ： 指定的触发条件，r 读取权限，w 写入权限，x 执行权限，a 属性（attr）

目录进行审计和文件审计相似，方法如下：

$ sudo auditctl -w /production/

以上命令对/production目录进行保护。

3 查看审计日志

添加规则后，我们可以查看 auditd 的日志。使用 ausearch 工具可以查看auditd日志。

sudo ausearch -f /etc/passwd

-f 设定ausearch 调出 /etc/passwd文件的审计内容

4 查看审计报告

以上命令返回log如下：

time->Mon Dec 22 09:39:16 2016

type=PATH msg=audit(1419215956471:194): item=0 name="/etc/passwd"

inode=142512 dev=08:01 mode=0100644 ouid=0 ogid=0 rdev=00:00 nametype=NORMAL

type=CWD msg=audit(1419215956471:194): cwd="/home/somebody"

type=SYSCALL msg=audit(1419215956471:194): arch=40000003 syscall=5 

success=yes exit=3 a0=b779694b a1=80000 a2=1b6 a3=b8776aa8 items=1 ppid=2090 pid=2231 auid=4294967295 uid=1000 gid=1000 euid=0 suid=0 fsuid=0 egid=1000 sgid=1000 fsgid=1000 tty=pts0 ses=4294967295

comm="sudo" exe="/usr/bin/sudo" key=(null)

time : 审计时间。

name : 审计对象

cwd : 当前路径

syscall : 相关的系统调用

auid : 审计用户ID

uid 和 gid : 访问文件的用户ID和用户组ID

comm : 用户访问文件的命令

exe : 上面命令的可执行文件路径

以上审计日志显示文件未被改动。

一．Windows日志系统 WindowsNT/2000的系统日志文件有应用程序日志AppEventEvt、安全日志SecEventEvt、系统日志SysEventEvt，根据系统开通的服务还会产生相应的日志文件。例如，DNS服务器日志DNS Servevt，FTP日志、WWW日志等。日志文件默认存放位置：%systemroot%\system32\config，默认文件大小512KB。这些日志文件在注册表中的位置为HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\Eventlog，可以修改相应键值来改变日志文件的存放路径和大小。

Windows NT/2000主要有以下三类日志记录系统事件：应用程序日志、系统日志和安全日志。

1．应用程序日志

记录由应用程序产生的事件。例如，某个数据库程序可能设定为每次成功完成备份后都向应用程序日志发送事件记录信息。应用程序日志中记录的时间类型由应用程序的开发者决定，并提供相应的系统工具帮助用户查看应用程序日志。

2．系统日志

记录由WindowsNT/2000操作系统组件产生的事件，主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等。系统日志中记录的时间类型由Windows NT/2000操作系统预先定义。

3．安全日志

记录与安全相关的事件，包括成功和不成功的登录或退出、系统资源使用事件(系统文件的创建、删除、更改)等。与系统日志和应用程序日志不同，安全日志只有系统管理员才可以访问。在WindowsXP中，事件是在系统或程序中发生的、要求通知用户的任何重要事情，或者是添加到日志中的项。事件日志服务在事件查看器中记录应用程序、安全和系统事件。通过使用事件查看器中的事件日志，用户可以获取有关硬件、软件和系统组件的信息，并可以监视本地或远程计算机上的安全事件。事件日志可帮助您确定和诊断当前系统问题的根源，还可以帮助用户预测潜在的系统问题。WindowsNT/2000的系统日志由事件记录组成。每个事件记录为三个功能区：记录头区、事件描述区和附加数据区，表14-3-1描述了事件记录的结构。

OpenStack日志

日志对于一个稳定的系统来说相当重要，对于OpenStack这样一个大型的系统，日志当然也是必不可少，理解Openstack系统的日志对于保证OpenStack环境稳定非常重要。对于出现系统错误，查看日志是一个很好的习惯。

OpenStack通过生成大量日志信息来帮助排查系统安装运行期间出现的问题，接下来介绍几个常见服务的相关日志位置。

Nova日志

OpenStack计算服务日志位于/var/log/nova，默认权限拥有者是nova用户。需要注意的是，并不是每台服务器上都包含所有的日志文件,例如nova-computelog仅在计算节点生成。

nova-computelog：虚拟机实例在启动和运行中产生的日志

nova-networklog：关于网络状态、分配、路由和安全组的日志

nova-managelog：运行nova-manage命令时产生的日志

nova-schedulerlog：有关调度的，分配任务给节点以及消息队列的相关日志

nova-objectstorelog：镜像相关的日志

nova-apilog：用户与OpenStack交互以及OpenStack组件间交互的消息相关日志

nova-certlog：nova-cert过程的相关日志

nova-consolelog：关于nova-console的VNC服务的详细信息

nova-consoleauthlog：关于nova-console服务的验证细节

nova-dhcpbridgelog：与dhckbridge服务先关的网络信息

Dashboard日志

Dashboard是一个DJango的web应用程序，默认运行在Apache服务器上，相应的运行日志也都记录在Apache的日志中，用户可以在/var/log/apache2/中查看。

存储日志

对象存储Swift默认日志写到syslog中，在Ubuntu系统中，可以通过/var/log/syslog查看，在其他系统中，可能位于/var/log/messages中。 

块存储Cinder产生的日志默认存放在/var/log/cinder目录中 

- cinder-apilog：关于cinder-api服务的细节 

- cinder-schedulerlog：关于cinder调度服务的操作的细节 

- cinder-volumelog：与cinder卷服务相关的日志项

Keystone日志

身份认证Keystone服务的日志记录在/var/log/keystone/keystonelog中。

Glance日志

镜像服务Glance的日志默认存放在/var/log/glance目录中 

- apilog：Glance API相关的日志 

- registrylog：Glance registry服务相关的日志 

根据日志配置的不同，会保存诸如元信息更新和访问记录这些信息。

Neutron日志

网络服务Neutron的日志默认存放在/var/log/neutron目录中 

- dhcp-agentlog：关于dhcp-agent的日志 

- l3-agentlog：与l3代理及其功能相关的日志 

- metadata-agentlog：通过neutron代理给Nova元数据服务的相关日志 

- openvswitch-agentlog：与openvswitch相关操作的日志项，在具体实现OpenStack网络时，如果使用了不同的插件，就会有相应的日志文件名 

- serverlog：与Neutron API服务相关的日志

改变日志级别

每个OpenStack服务的默认日志级别均为警告级（Warning），该级别的日志对于了解运行中系统的状态或者基本的错误定位已经够用，但是有时候需要上调日志级别来帮助诊断问题，或者下调日志级别以减少日志噪声。由于各个服务的日志设置方式类似，因此这里就以Nova服务为例。

设置Nova服务的日志级别

vi /etc/nova/loggingconf 

将列出的服务的日志级别修改为DEBUG、INFO或WARNING