一、前言
前边我们已经讲了windows系统下的安全审计,现在我们讲讲Linux系统下的安全审计,其实两个系统下的测评项都是一样的,不一样的就是不同的系统查看系统配置的方法不一样,windows系统使用的都是图形交互界面,而且我们平时使用windows系统比较多,查找起来比较方便,Linux系统是要使用命令来查看系统配置的,需要有一些Linux系统命令的基础,当然也都比较简单,现在就让我们来看看Linux系统下如何测评身份鉴别的相关测评项。
二、测评项
a)应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;
b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;
c)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;
d)应对审计进程进行保护,防止未经授权的中断。
三、测评项a
a)应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;
Linux系统审计功能有两个,一个是audit,另一个是syslog,audit 主要用来记录安全信息,用于对系统安全事件的追溯;而 syslog 日志系统用来记录系统中的各种信息,如硬件警报和软件日志等。但是 syslog 属于应用层,没办法记录太多信息。audit 来记录内核信息,包括文件的读写,权限的改变等。
两个功能都是相互独立的,谁都不影响谁,我们测评时主要看audit功能,我们可以使用命令:service auditd status,来启动audit功能,命令:auditctl -s,来查看auditd内核模块的状态,其中enabled参数为1代表开启,为0代表关闭,如下图所示:
开启audit服务
默认情况下auditd只要开启了,审计就算是覆盖到每个用户和并对重要行为、事件进行审计了。
四、测评项b
b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;
开启autid服务后,所有的审计日志会记录在/var/log/audit/audit.log文件中,该文件记录格式是每行以type开头,后边有事件发生的日期和时间,以及事件ID、同一种事件ID一致,用户等各种信息,如下图所示:
日志内容
因此/var/log/audit/audit.log文件记录的日志内容也是符合测评要求的。
五、测评项c
c)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;
这一项有两个要求,一是对审计日志进行保护,二是定期备份,保护后边说得很明白,就是避免受到未预期的删除、修改或覆盖等,这个很简单,就是查看日志文件的权限就可以了,一般情况下,只要除了root和审计用户之外其他用户没有写权限就可以了,我们可以在/var/log目录下使用命令:ls -l,查看各个文件权限,如下图所示:
日志文件权限
至于定期备份,如果对方说有该类设备,就去查看相关配置以及是否存在实际的备份的日志文件即可。如果对方说是手动定期备份的话,这个就要以事实为主,靠你自己的判断了。
六、测评项d
d)应对审计进程进行保护,防止未经授权的中断。
这一项我们可以使用cat命令,查看配置文件 /etc/rc.d/init.d/auditd,找到如下配置项:
#Check that we are root ... so non-root users stop here
test $EUID = 0 || exit 4
简单的来说EUID是root用户的ID,也就是0,只要EUID不等于0,没有root权限,也就执行不了什么代码,也就做不了什么了。
以上就是一项一项教你测等保2.0——Linux安全审计的所有内容,希望对大家有所帮助。
原文始发于微信公众号(安全帮):一项一项教你测等保2.0——Linux安全审计
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论