linux服务器安全审计怎么弄

linux服务器安全审计怎么弄,第1张

材料:

Linux审计系统auditd 套件

步骤:

安装 auditd

REL/centos默认已经安装了此套件,如果你使用ubuntu server,则要手工安装它:

sudo apt-get install auditd

它包括以下内容:

auditctl : 即时控制审计守护进程的行为的工具,比如如添加规则等等。

/etc/audit/audit.rules : 记录审计规则的文件。

aureport : 查看和生成审计报告的工具。

ausearch : 查找审计事件的工具

auditspd : 转发事件通知给其他应用程序,而不是写入到审计日志文件中。

autrace : 一个用于跟踪进程的命令。

/etc/audit/auditd.conf : auditd工具的配置文件。

Audit 文件和目录访问审计

首次安装 auditd 后, 审计规则是空的。可以用 sudo auditctl -l 查看规则。文件审计用于保护敏感的文件,如保存系统用户名密码的passwd文件,文件访问审计方法:

sudo auditctl -w /etc/passwd -p rwxa

-w path : 指定要监控的路径,上面的命令指定了监控的文件路径 /etc/passwd

-p : 指定触发审计的文件/目录的访问权限

rwxa : 指定的触发条件,r 读取权限,w 写入权限,x 执行权限,a 属性(attr)

目录进行审计和文件审计相似,方法如下:

$ sudo auditctl -w /production/

以上命令对/production目录进行保护。

3. 查看审计日志

添加规则后,我们可以查看 auditd 的日志。使用 ausearch 工具可以查看auditd日志。

sudo ausearch -f /etc/passwd

-f 设定ausearch 调出 /etc/passwd文件的审计内容

4. 查看审计报告

以上命令返回log如下:

time->Mon Dec 22 09:39:16 2016

type=PATH msg=audit(1419215956.471:194): item=0 name="/etc/passwd"

inode=142512 dev=08:01 mode=0100644 ouid=0 ogid=0 rdev=00:00 nametype=NORMAL

type=CWD msg=audit(1419215956.471:194): cwd="/home/somebody"

type=SYSCALL msg=audit(1419215956.471:194): arch=40000003 syscall=5 

success=yes exit=3 a0=b779694b a1=80000 a2=1b6 a3=b8776aa8 items=1 ppid=2090 pid=2231 auid=4294967295 uid=1000 gid=1000 euid=0 suid=0 fsuid=0 egid=1000 sgid=1000 fsgid=1000 tty=pts0 ses=4294967295

comm="sudo" exe="/usr/bin/sudo" key=(null)

time : 审计时间。

name : 审计对象

cwd : 当前路径

syscall : 相关的系统调用

auid : 审计用户ID

uid 和 gid : 访问文件的用户ID和用户组ID

comm : 用户访问文件的命令

exe : 上面命令的可执行文件路径

以上审计日志显示文件未被改动。

安全审计系统IP-guard

安全审计系统IP-guard包含18个功能模块,分别是:文档操作管控、文档打印管理、即时通讯管控、应用程序管控、邮件管控、网页浏览管控、网络流量控制、网络控制、远程维护、资产管理、设备管控、移动存储管控、网络准入控制、屏幕监控等

IP-guard迄今为止已经拥有超过15,600家国内外知名企业客户,远销69个国家和地区,部署的计算机超过4,700,000台。

或许你可以反编译一下IP-guard,然后看看里面的功能是怎么实现的

审计的部署非常简单,没有什么技术含量,就是有一些步骤,今天公司来了一批网络设备,正好有日志审计,于是鼓捣了一上午,在此记录一下操作,万一哪天用上了。

管理口默认是左上角网口,默认地址为:https://192.168.1.40,默认是禁ping的

用户名:super

密码:super123456

部署须知(用谷歌浏览器)

新版本新增了对目标数据库服务器的非数据库流量会话审计功能,用户在审计对象配置界面的高级选项里便可配置新增审计会话查询功能,支持根据时间、协议类型、服务器IP、服务端端口、客户端IP等条件进行查询同时还具备了新增审计会话关联功能,帮助用户完全追踪数据库的所有可疑访问行为。

NO.4:新增自学习建模数据钻取

新版本新增了自动建模数据钻取以及新增对比数据钻取功能,让自学习及告警展示更为直观明显。

NO.5:新增报表自动生成自动邮件发送

新版本新增了报表自动生成及自动邮件发送功能,自动邮件发送支持按日、周、月自动生成自动发送,将极大的提高用户的阅读报表的便利,同时避免数据覆盖导致的报表过期无法生成的问题。

No.6:新增审计数据模糊查询功能

支持根据返回行数等条件的模糊查询,针对部分客户想检索特定字符的审计记录的问题,针对部分审计场景检索更方便。

No.7:新增告警数据分析功能

新版本新增了Web界面告警分析功能,便于管理员从客户端工具名、用户名、IP、规则四个角度分析告警行为,直观的告诉客户哪些维度告警分别有多少条,占比总告警数有多少,在告警数据查询页面根据特定条件查询。这样可以让告警数据更加直观的展示给用户,便于用户分析可疑行为。

No.8:新增保密资质专版

由于保密行业的特殊性,在新版本里针对保密行业要求三权分立,并且各自用户只能创建自有角色的用户,我们开发了保密资质专版,对现有权限模型进行了优化调整,完全满足保密、军工等行业的特殊需求,使用时从标准版本选择切换oem,切换到保密资质专用版即可。

No.9:新增协议解析编码配置

解决了部分目标数据库编码方式不确定,需要手工配置才能保证解析不乱码的情况,让协议解析更加准确可控。

No.10:新增双因子认证

新增了用户双因子认证,通过用户令牌和用户密码极大的增加账号盗用、冒用的难度,防止攻击者假冒合法用户获得资源的访问权限,保证系统和数据的安全极大的提高了系统的安全性。

除了新增的十大功能,新版本还对原有功能进行了优化,使得产品的性能和质量更加稳定可靠。另据安恒信息安全专家透露,未来,安恒信息还将在虚拟化、云计算环境以及大数据平台等方向加大数据库审计产品的研发力度,为用户提供更加好用的数据库审计产品。

日志审计通常是旁路部署,只要是目标主机能够连接日志审计即可。日志审计并不是旁路部署,而是指向部署,并不用配置端口镜像。

为什么数据库审计就要使用端口镜像而不使用指向部署呢?

如果数据库使用指向部署,将其产生的日志放送到数据库审计的话,这个发送的工作实际上是由数据库进程完成的,我们在生产环境当中要求数据库的响应速度是快、快、快、而一旦让它产生日志并由数据库进程发送到审计设备的话,无疑会加重数据库进程的负担,所以我们通常使用端口镜像的方式来部署数据库审计。

安恒信息明御系列产品运维审计与风险控制系统2.0.2006升级版今日发布,本次改版从产品界面、使用操作方面都做了大幅调整,更加注重自动化和兼容性,重点从部署、资产管理、运维审计三个方面做了重大更新和改进。革新功能如下:

更加合理化和便捷化的部署方式是升级后的2.0.2006版本新增的一大亮点:首次使用部署向导,在初次使用设备时,通过批量导入授权关系,指引客户完成快速部署。用户只需要完整的按照模板导入用户、主机、账号及授权关系,即可一步完成设备的部署配置,极大提高了用户部署便利性,也缩小了设备上线的时间周期。

有运维审计的用户反映如何在运维资产前就可提前预知资产访问出现的问题,新增的主机网络在线状态检测功能让这个问题得以很好的解决,新增运维报表统计模块,这是2.0.2006非常大的改善,新版本报表完全站在用户的角度去分析审计数据的价值,统计运维人员的运维情况,从全局到细节,每个统计数据都对用户来说非常有意义,且新版本现在可以根据任意时间范围生成报表,极大的优化了老版本的种种不完善,报表以html 格式导出,导出报表兼容三种格式:pdf、doc、html。

此外,在资产管理方面2.0.2006版本增加了两大独有功能:

1、资产管理增加了SSH 协议控制配置,支持自定义环境变量设置:解决了从 SSH 协议资产设备上无法查看真实的运维源IP问题,提供环境变量设置传递解决方案,允许真正的运维用户名和源 IP 传递到目标系统上,客户可自定义shell 的使用,极大的方便了部分运维用户的需求,这也是2.0.2006版本独有的功能。

2、资产管理增加资产部分审批、审计功能,关闭资产审计后,仅有审计记录没有审计数据,解决了部分客户提出的针对重要敏感资产只运维不审计的需求:只记录会话操作的基础访问信息,而对操作内容不做记录。

2.0.2006版本的优化升级使运维审计的过程更加快捷,配置管理变得简单,数据导出的灵活性大幅提高,减少了在管理运维审计中的工作量,提高了效率,具有更好的用户体验度,安恒信息将为老用户们免费提供升级服务。明御运维审计与风险控制系统(简称:DAS-USM或堡垒主机)是安恒信息结合多年安全运维管理理论和实际运维经验的基础上,结合各类法令法规(如等级保护、分级保护、银监、证监、PCI、企业内控管理、SOX塞班斯、ISO27001等)对运维管理的要求。自主研发完成支持自动建模授权、应用虚拟化应用中心、统一账户管理与单点登录等功能,并符合4A(认证Authentication、账号Account、授权Authorization、审计Audit)统一安全管理方案的、高性能、高抗网络攻击的运维安全管理系统。

明御运维审计与风险控制系统具备强大的输入输出审计功能,为企事业单位内部提供完整的审计信息,通过账号管理、身份认证、自动改密、资源授权、实时阻断、同步监控、审计回放、自动化运维、流程管理等功能增强运维管理的安全性,广泛适用于需要统一运维安全管理与审计的“政府、金融、电子商务、运营商、公安、能源、税务、工商、社保、交通、卫生、教育、企业”等各个行业。


欢迎分享,转载请注明来源:夏雨云

原文地址:https://www.xiayuyun.com/zonghe/789047.html

(0)
打赏 微信扫一扫微信扫一扫 支付宝扫一扫支付宝扫一扫
上一篇 2023-08-25
下一篇2023-08-25

发表评论

登录后才能评论

评论列表(0条)

    保存