⑴ linux伺服器安全審計怎麼弄
Linux審計系統auditd 套件
安裝 auditd
REL/centos默認已經安裝了此套件,如果你使用ubuntu server,則要手工安裝它:
sudo apt-get install auditd
它包括以下內容:
auditctl :即時控制審計守護進程的行為的工具,比如如添加規則等等。
/etc/audit/audit.rules :記錄審計規則的文件。
aureport :查看和生成審計報告的工具。
ausearch :查找審計事件的工具
auditspd :轉發事件通知給其他應用程序,而不是寫入到審計日誌文件中。
autrace :一個用於跟蹤進程的命令。
/etc/audit/auditd.conf :auditd工具的配置文件。
Audit 文件和目錄訪問審計
首次安裝auditd後, 審計規則是空的。可以用sudo auditctl -l 查看規則。文件審計用於保護敏感的文件,如保存系統用戶名密碼的passwd文件,文件訪問審計方法:
sudo auditctl -w /etc/passwd -p rwxa
-w path :指定要監控的路徑,上面的命令指定了監控的文件路徑 /etc/passwd
-p :指定觸發審計的文件/目錄的訪問許可權
rwxa :指定的觸發條件,r 讀取許可權,w 寫入許可權,x 執行許可權,a 屬性(attr)
目錄進行審計和文件審計相似,方法如下:
$ sudo auditctl -w /proction/
以上命令對/proction目錄進行保護。
3.查看審計日誌
添加規則後,我們可以查看 auditd 的日誌。使用ausearch工具可以查看auditd日誌。
sudo ausearch -f /etc/passwd
-f設定ausearch 調出 /etc/passwd文件的審計內容
4. 查看審計報告
以上命令返回log如下:
time->Mon Dec 22 09:39:16 2016
type=PATH msg=audit(1419215956.471:194): item=0name="/etc/passwd"
inode=142512 dev=08:01 mode=0100644 ouid=0 ogid=0 rdev=00:00 nametype=NORMAL
type=CWD msg=audit(1419215956.471:194):cwd="/home/somebody"
type=SYSCALL msg=audit(1419215956.471:194): arch=40000003syscall=5
success=yes exit=3 a0=b779694b a1=80000 a2=1b6 a3=b8776aa8 items=1 ppid=2090 pid=2231auid=4294967295 uid=1000 gid=1000euid=0 suid=0 fsuid=0 egid=1000 sgid=1000 fsgid=1000 tty=pts0 ses=4294967295
comm="sudo" exe="/usr/bin/sudo"key=(null)
time :審計時間。
name :審計對象
cwd :當前路徑
syscall :相關的系統調用
auid :審計用戶ID
uid 和 gid :訪問文件的用戶ID和用戶組ID
comm :用戶訪問文件的命令
exe :上面命令的可執行文件路徑
以上審計日誌顯示文件未被改動。
⑵ 審計的os是什麼意思
審計的OS是指專門用於審計和監控的操作系統。這種操作系統具有高度的安全性和可控性,可以幫助企業識別安全威脅,保護信息安全。它通常配備了各種安全策略和功能,如訪問控制、日誌記錄、加密和審計等,可以記錄用戶的訪問和操作,以便後續檢查和追溯。
OS審計主要應用於企業內部安全管理、網路安全、數據中心、金融安全等領域。例如,一些大型企業的資料庫伺服器、財務系統等都需要使用OS審計工具進行監控和審計,以確保數據的安全性和完整性。此外,在一些高安全級別的行業,如銀行、軍工、政府等領域,OS審計更是必不可少的安全手段。
雖然OS審計能夠提供一定程度的安全保障,但它也存在一定的局限性。例如,它只能監控到操作系統內部的行為,無法掌握在物理層面或應用層面的行為和攻擊。此外,隨著技術的發展,黑客對OS審計的攻擊也越來越厲害,因此OS審計需要不斷升級和更新。未來,隨著雲計算、大數據、物聯網等技術的發展,OS審計的應用場景也將逐漸擴大,更加重視數據的安全保障。