⑴ linux服务器安全审计怎么弄
Linux审计系统auditd 套件
安装 auditd
REL/centos默认已经安装了此套件,如果你使用ubuntu server,则要手工安装它:
sudo apt-get install auditd
它包括以下内容:
auditctl :即时控制审计守护进程的行为的工具,比如如添加规则等等。
/etc/audit/audit.rules :记录审计规则的文件。
aureport :查看和生成审计报告的工具。
ausearch :查找审计事件的工具
auditspd :转发事件通知给其他应用程序,而不是写入到审计日志文件中。
autrace :一个用于跟踪进程的命令。
/etc/audit/auditd.conf :auditd工具的配置文件。
Audit 文件和目录访问审计
首次安装auditd后, 审计规则是空的。可以用sudo auditctl -l 查看规则。文件审计用于保护敏感的文件,如保存系统用户名密码的passwd文件,文件访问审计方法:
sudo auditctl -w /etc/passwd -p rwxa
-w path :指定要监控的路径,上面的命令指定了监控的文件路径 /etc/passwd
-p :指定触发审计的文件/目录的访问权限
rwxa :指定的触发条件,r 读取权限,w 写入权限,x 执行权限,a 属性(attr)
目录进行审计和文件审计相似,方法如下:
$ sudo auditctl -w /proction/
以上命令对/proction目录进行保护。
3.查看审计日志
添加规则后,我们可以查看 auditd 的日志。使用ausearch工具可以查看auditd日志。
sudo ausearch -f /etc/passwd
-f设定ausearch 调出 /etc/passwd文件的审计内容
4. 查看审计报告
以上命令返回log如下:
time->Mon Dec 22 09:39:16 2016
type=PATH msg=audit(1419215956.471:194): item=0name="/etc/passwd"
inode=142512 dev=08:01 mode=0100644 ouid=0 ogid=0 rdev=00:00 nametype=NORMAL
type=CWD msg=audit(1419215956.471:194):cwd="/home/somebody"
type=SYSCALL msg=audit(1419215956.471:194): arch=40000003syscall=5
success=yes exit=3 a0=b779694b a1=80000 a2=1b6 a3=b8776aa8 items=1 ppid=2090 pid=2231auid=4294967295 uid=1000 gid=1000euid=0 suid=0 fsuid=0 egid=1000 sgid=1000 fsgid=1000 tty=pts0 ses=4294967295
comm="sudo" exe="/usr/bin/sudo"key=(null)
time :审计时间。
name :审计对象
cwd :当前路径
syscall :相关的系统调用
auid :审计用户ID
uid 和 gid :访问文件的用户ID和用户组ID
comm :用户访问文件的命令
exe :上面命令的可执行文件路径
以上审计日志显示文件未被改动。
⑵ 审计的os是什么意思
审计的OS是指专门用于审计和监控的操作系统。这种操作系统具有高度的安全性和可控性,可以帮助企业识别安全威胁,保护信息安全。它通常配备了各种安全策略和功能,如访问控制、日志记录、加密和审计等,可以记录用户的访问和操作,以便后续检查和追溯。
OS审计主要应用于企业内部安全管理、网络安全、数据中心、金融安全等领域。例如,一些大型企业的数据库服务器、财务系统等都需要使用OS审计工具进行监控和审计,以确保数据的安全性和完整性。此外,在一些高安全级别的行业,如银行、军工、政府等领域,OS审计更是必不可少的安全手段。
虽然OS审计能够提供一定程度的安全保障,但它也存在一定的局限性。例如,它只能监控到操作系统内部的行为,无法掌握在物理层面或应用层面的行为和攻击。此外,随着技术的发展,黑客对OS审计的攻击也越来越厉害,因此OS审计需要不断升级和更新。未来,随着云计算、大数据、物联网等技术的发展,OS审计的应用场景也将逐渐扩大,更加重视数据的安全保障。