linux服務(wù)器安全審計在哪里 linux服務(wù)器安全策略

linux服務(wù)器安全審計怎么弄

材料：

10年積累的成都做網(wǎng)站、成都網(wǎng)站設(shè)計經(jīng)驗，可以快速應(yīng)對客戶對網(wǎng)站的新想法和需求。提供各種問題對應(yīng)的解決方案。讓選擇我們的客戶得到更好、更有力的網(wǎng)絡(luò)服務(wù)。我雖然不認(rèn)識你，你也不認(rèn)識我。但先網(wǎng)站策劃后付款的網(wǎng)站建設(shè)流程，更有屯昌免費(fèi)網(wǎng)站建設(shè)讓你可以放心的選擇與我們合作。

Linux審計系統(tǒng)auditd 套件

步驟：

安裝 auditd

REL/centos默認(rèn)已經(jīng)安裝了此套件，如果你使用ubuntu server，則要手工安裝它：

sudo apt-get install auditd

它包括以下內(nèi)容：

auditctl :?即時控制審計守護(hù)進(jìn)程的行為的工具，比如如添加規(guī)則等等。

/etc/audit/audit.rules :?記錄審計規(guī)則的文件。

aureport :?查看和生成審計報告的工具。

ausearch :?查找審計事件的工具

auditspd :?轉(zhuǎn)發(fā)事件通知給其他應(yīng)用程序，而不是寫入到審計日志文件中。

autrace :?一個用于跟蹤進(jìn)程的命令。

/etc/audit/auditd.conf :?auditd工具的配置文件。

Audit 文件和目錄訪問審計

首次安裝?auditd?后, 審計規(guī)則是空的?？梢杂?sudo auditctl -l 查看規(guī)則。文件審計用于保護(hù)敏感的文件，如保存系統(tǒng)用戶名密碼的passwd文件，文件訪問審計方法：

sudo auditctl -w /etc/passwd -p rwxa

-w path :?指定要監(jiān)控的路徑，上面的命令指定了監(jiān)控的文件路徑 /etc/passwd

-p :?指定觸發(fā)審計的文件/目錄的訪問權(quán)限

rwxa ：?指定的觸發(fā)條件，r 讀取權(quán)限，w 寫入權(quán)限，x 執(zhí)行權(quán)限，a 屬性（attr）

目錄進(jìn)行審計和文件審計相似，方法如下：

$ sudo auditctl -w /production/

以上命令對/production目錄進(jìn)行保護(hù)。

3.?查看審計日志

添加規(guī)則后，我們可以查看 auditd 的日志。使用?ausearch?工具可以查看auditd日志。

sudo ausearch -f /etc/passwd

-f?設(shè)定ausearch 調(diào)出 /etc/passwd文件的審計內(nèi)容

4. 查看審計報告

以上命令返回log如下：

time-Mon Dec 22 09:39:16 2016

type=PATH msg=audit(1419215956.471:194): item=0?name="/etc/passwd"

inode=142512 dev=08:01 mode=0100644 ouid=0 ogid=0 rdev=00:00 nametype=NORMAL

type=CWD msg=audit(1419215956.471:194):?cwd="/home/somebody"

type=SYSCALL msg=audit(1419215956.471:194): arch=40000003?syscall=5?

success=yes exit=3 a0=b779694b a1=80000 a2=1b6 a3=b8776aa8 items=1 ppid=2090 pid=2231?auid=4294967295 uid=1000 gid=1000?euid=0 suid=0 fsuid=0 egid=1000 sgid=1000 fsgid=1000 tty=pts0 ses=4294967295

comm="sudo" exe="/usr/bin/sudo"?key=(null)

time :?審計時間。

name :?審計對象

cwd :?當(dāng)前路徑

syscall :?相關(guān)的系統(tǒng)調(diào)用

auid :?審計用戶ID

uid 和 gid :?訪問文件的用戶ID和用戶組ID

comm :?用戶訪問文件的命令

exe :?上面命令的可執(zhí)行文件路徑

以上審計日志顯示文件未被改動。

Linux自帶的審計功能

Linux自帶的script命令，可以記錄終端的輸出，用來完成簡單的審計功能

這樣用戶登陸后執(zhí)行的操作都會記錄到/mnt/log/script/*.log（目錄自己根據(jù)服務(wù)器目錄定義）里，這里把用戶ID 大于1000的都記錄下操作。

linux安全審計

selinux你可以直接理解為防火墻加系統(tǒng)權(quán)限管理，在防火墻的更上一級。

你的問題可以說涵蓋比較多，先從系統(tǒng)管理權(quán)限來說的話，文件使用ls -l來看的話，第一列會有10個例如-rwx--x--x這樣的文字組成的，這個第一位代表這個文件是什么文件，2到4為代表創(chuàng)建者的權(quán)限，rwx分別代表讀寫執(zhí)行，5-7代表用戶所在組的權(quán)限，8-10代表其他的人。root超級管理員不受這個屬性的控制，每個用戶都有一個基本組，也會有附加組。ls -l第二列代表用戶創(chuàng)建者，第三列代表文件擁有組。還有s和t的權(quán)限。請仔細(xì)預(yù)讀關(guān)于linux系統(tǒng)權(quán)限管理的相關(guān)文獻(xiàn)。這是第一層的安全控制，第二層的控制位iptables，防火墻，主要針對外網(wǎng)對本機(jī)的出入口的權(quán)限控制。selinux涉及一部分系統(tǒng)管理權(quán)限以及防火墻的功能，為第三層安全機(jī)制。

linux 服務(wù)器 如何進(jìn)行安全檢查？

眾所周知，網(wǎng)絡(luò)安全是一個非常重要的課題，而服務(wù)器是網(wǎng)絡(luò)安全中最關(guān)鍵的環(huán)節(jié)。linux被認(rèn)為是一個比較安全的Internet服務(wù)器，作為一種開放源代碼操作系統(tǒng)，一旦linux系統(tǒng)中發(fā)現(xiàn)有安全漏洞，Internet上來自世界各地的志愿者會踴躍修補(bǔ)它。然而，系統(tǒng)管理員往往不能及時地得到信息并進(jìn)行更正，這就給黑客以可乘之機(jī)。相對于這些系統(tǒng)本身的安全漏洞，更多的安全問題是由不當(dāng)?shù)呐渲迷斐傻?，可以通過適當(dāng)?shù)呐渲脕矸乐?。服?wù)器上運(yùn)行的服務(wù)越多，不當(dāng)?shù)呐渲贸霈F(xiàn)的機(jī)會也就越多，出現(xiàn)安全問題的可能性就越大。對此，下面將介紹一些增強(qiáng)linux/Unix服務(wù)器系統(tǒng)安全性的知識。 一、系統(tǒng)安全記錄文件 操作系統(tǒng)內(nèi)部的記錄文件是檢測是否有網(wǎng)絡(luò)入侵的重要線索。如果您的系統(tǒng)是直接連到Internet，您發(fā)現(xiàn)有很多人對您的系統(tǒng)做Telnet/FTP登錄嘗試，可以運(yùn)行"#more/var/log/secure　greprefused"來檢查系統(tǒng)所受到的攻擊，以便采取相應(yīng)的對策，如使用SSH來替換Telnet/rlogin等。 二、啟動和登錄安全性 1 #echo》/etc/issue 然后，進(jìn)行如下操作： #rm-f/etc/issue #rm-f/etc/issue 三、限制網(wǎng)絡(luò)訪問 1(ro，root_squash) /dir/to/exporthost2(ro，root_squash) /dir/to/export是您想輸出的目錄，host是登錄這個目錄的機(jī)器名，ro意味著mount成只讀系統(tǒng)，root_squash禁止root寫入該目錄。為了使改動生效，運(yùn)行如下命令。 #/usr/sbin/exportfs-a 2"表示允許IP地址192允許通過SSH連接。 配置完成后，可以用tcpdchk檢查： #tcpdchk tcpchk是TCP_Wrapper配置檢查工具，它檢查您的tcpwrapper配置并報告所有發(fā)現(xiàn)的潛在/存在的問題。 3.登錄終端設(shè)置 /etc/securetty文件指定了允許root登錄的tty設(shè)備，由/bin/login程序讀取，其格式是一個被允許的名字列表，您可以編輯/etc/securetty且注釋掉如下的行。 #tty1 #tty2 #tty3 #tty4 #tty5 #tty6 這時，root僅可在tty1終端登錄。 4.避免顯示系統(tǒng)和版本信息。 如果您希望遠(yuǎn)程登錄用戶看不到系統(tǒng)和版本信息，可以通過一下操作改變/etc/inetd.conf文件： telnetstreamtcpnowaitroot/usr/sbin/tcpdin.telnetd-h 加-h表示telnet不顯示系統(tǒng)信息，而僅僅顯示"login:" 四、防止攻擊 1.阻止ping如果沒人能ping通您的系統(tǒng)，安全性自然增加了。為此，可以在/etc/rc.d/rc.local文件中增加如下一行：

本文標(biāo)題：linux服務(wù)器安全審計在哪里 linux服務(wù)器安全策略
URL網(wǎng)址：http://muchs.cn/article12/ddcgddc.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供靜態(tài)網(wǎng)站、用戶體驗、Google、網(wǎng)站制作、網(wǎng)站營銷、移動網(wǎng)站建設(shè)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)