一项一项教你测等保2.0——Linux安全审计

admin 2024年9月28日12:36:24评论3 views字数 1647阅读5分29秒阅读模式

一、前言

前边我们已经讲了windows系统下的安全审计,现在我们讲讲Linux系统下的安全审计,其实两个系统下的测评项都是一样的,不一样的就是不同的系统查看系统配置的方法不一样,windows系统使用的都是图形交互界面,而且我们平时使用windows系统比较多,查找起来比较方便,Linux系统是要使用命令来查看系统配置的,需要有一些Linux系统命令的基础,当然也都比较简单,现在就让我们来看看Linux系统下如何测评身份鉴别的相关测评项。

二、测评项

a)应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;

b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;

c)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;

d)应对审计进程进行保护,防止未经授权的中断。

三、测评项a

a)应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;

Linux系统审计功能有两个,一个是audit,另一个是syslog,audit 主要用来记录安全信息,用于对系统安全事件的追溯;而 syslog 日志系统用来记录系统中的各种信息,如硬件警报和软件日志等。但是 syslog 属于应用层,没办法记录太多信息。audit 来记录内核信息,包括文件的读写,权限的改变等。

两个功能都是相互独立的,谁都不影响谁,我们测评时主要看audit功能,我们可以使用命令:service auditd status,来启动audit功能,命令:auditctl -s,来查看auditd内核模块的状态,其中enabled参数为1代表开启,为0代表关闭,如下图所示:

一项一项教你测等保2.0——Linux安全审计

开启audit服务

默认情况下auditd只要开启了,审计就算是覆盖到每个用户和并对重要行为、事件进行审计了。

四、测评项b

b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;

开启autid服务后,所有的审计日志会记录在/var/log/audit/audit.log文件中,该文件记录格式是每行以type开头,后边有事件发生的日期和时间,以及事件ID、同一种事件ID一致,用户等各种信息,如下图所示:

一项一项教你测等保2.0——Linux安全审计

日志内容

因此/var/log/audit/audit.log文件记录的日志内容也是符合测评要求的。

五、测评项c

c)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;

这一项有两个要求,一是对审计日志进行保护,二是定期备份,保护后边说得很明白,就是避免受到未预期的删除、修改或覆盖等,这个很简单,就是查看日志文件的权限就可以了,一般情况下,只要除了root和审计用户之外其他用户没有写权限就可以了,我们可以在/var/log目录下使用命令:ls -l,查看各个文件权限,如下图所示:

一项一项教你测等保2.0——Linux安全审计

日志文件权限

至于定期备份,如果对方说有该类设备,就去查看相关配置以及是否存在实际的备份的日志文件即可。如果对方说是手动定期备份的话,这个就要以事实为主,靠你自己的判断了。

六、测评项d

d)应对审计进程进行保护,防止未经授权的中断。

这一项我们可以使用cat命令,查看配置文件 /etc/rc.d/init.d/auditd,找到如下配置项:

#Check that we are root ... so non-root users stop here

test $EUID = 0 || exit 4

简单的来说EUID是root用户的ID,也就是0,只要EUID不等于0,没有root权限,也就执行不了什么代码,也就做不了什么了。

以上就是一项一项教你测等保2.0——Linux安全审计的所有内容,希望对大家有所帮助。

免责声明
由于传播、利用本号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,本号及作者不为承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉,谢谢!

原文始发于微信公众号(安全帮):一项一项教你测等保2.0——Linux安全审计

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年9月28日12:36:24
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   一项一项教你测等保2.0——Linux安全审计http://cn-sec.com/archives/1986343.html

发表评论

匿名网友 填写信息