知识宝库在此藏,一键关注获宝藏
三、安全审计
a)应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计
1) 查看审计进程是否正常运行
2)确认对哪些事件进行了审计,是否包含重要用户行为和重要安全事件
1. rsyslog日志
1.1 基本规则
● 服务名称
rsyslogd 主要还是通过Linux内核提供的 syslog 相关规范来设置数据的分类,Linux的syslog本身有规范一些服务信息,可以通过这些服务来存储系统的信息。Linux系统内核的syslog支持的服务类型主要有下面这些。
级别 |
等级 |
含义 |
none | 不记录 | |
8 |
debug | 用来debug(除错)时产生的数据 |
7 |
info | 仅是一些基本的信息说明而已 |
6 |
notice | 虽然是正常信息,但比info还需要被注意到的一些内容 |
5 | warning(warn) | 警示的信息,可能有问题,但是还不至于影响到某个daemon运行的信息 |
4 | err(error) | 一些重大的错误信息,例如配置文件的某些设置值造成该服务无法启动的信息说明,通常借由err的错误告知,应该可以了解到该服务无法启动的问题 |
3 | crit | 比error还要严重的错误信息,这个crit是临界点(critcal)的缩写,这个错误已经很严重了 |
2 | alert | 警告,已经很有问题的等级,比crit还要严重 |
1 |
emerg(panic) | 疼痛等级,意指系统已经几乎要宕机的状态,很严重的错误等级。通常大概只有硬件出问题,导致整个内核无法顺利运行,就会出现这样的等级信息。 |
[.=!] 连接符号含义:
. :代表记录比该等级(含该等级)还要严重的等级信息
.=:代表所需要的等级就是后面接的等级而已,其他的不要
.!:代表不等于,即除了该等级外的其他等级都记录
1.2 具体规则内容
*info;mail.none;authpriv.none;cron.none:由于mail、authpriv、cron等类别产生的信息较多,且已写入到下面的对应文件内,除此之外的其他信息均写入到/var/log/messages文件中,所以这也是messages文件很重要的原因。
authpriv.*:认证方面的信息均写入/var/log/secure文件。
mail.*:邮件方面的信息均写入/var/logmaillog文件。
cron.*:计划任务均写入/var/log/cron文件。
*.emerg:当产生最严重的错误等级时,将该等级的信息以wall的方式广播给所有系统登录的账号,要这么做的原因是希望在线的用户能够赶紧通知系统管理员来处理这么可怕的错误问题。
uucp,news.crit:uucp是早起UNIX-like系统进行数据传递的通讯协议,后来常用在新闻组,news则是新闻组。当新闻组方面的信息有严重错误时,就写入/var/log/spooler文件中。
local7.*:将本机启动时应该显示到屏幕的信息写入到/var/log/boot.log文件中
(日志设备) 首先有服务记录日志到特定的local设备,然后再通过rsyslog存储到特定的文件中去
mail.* -/var/log/maillog :-表示 由于邮件所产生的信息比较多,因此我们希望邮件产生的信息先存储在速度较快的内存缓冲区中,等到数据量够大了再一次性地将所有数据都写入磁盘,这样有助于日志文件的读取性能。
2. audit日志
2.1 查看audit服务状态
2.2 audit审计规则
1. 查看当前系统时间:date
2. 查看日志信息(默认符合)
c)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等
1.确认本地审计记录文件权限
日志文件权限不高于644
2.是否定期备份
3.查看轮替规则(详细的文件详解以及参数解释,由于篇幅原因,放在延展知识中更新)
weekly #每周清理一次日志文件
rotate 4 #保存四个轮换日志
create #清除旧日志的同时,创建新的空日志文件
dateext #使用日期为后缀的回滚文件 #可以去var/log目录下看看
audit配置文件 /etc/audit/auditd.conf
max_log_file = 8
num_logs = 5
d)应对审计进程进行保护,防止未经授权的中断
1. 判断哪些用户可以对审计进程进行操作
2. audit内核操作权限
原文始发于微信公众号(等保不好做啊):等保2.0测评深入理解—Linux操作系统(六)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论