知识宝库在此藏，一键关注获宝藏

续上文……

三、安全审计

          a）应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计

1） 查看审计进程是否正常运行

进程运行正常，默认覆盖到每个用户

systemctl status rsyslog.service（auditd.service）

使用 auditctl -s 查看内核状态

enabled=1 时为启动状态

2）确认对哪些事件进行了审计，是否包含重要用户行为和重要安全事件

1.  rsyslog日志

1.1 基本规则

配置文件，查看/etc/rsyslog.conf文件：

这个文件规定了

①什么服务 ②什么等级信息 ③需要被记录在哪里（设备或文件）

● 服务名称

rsyslogd 主要还是通过Linux内核提供的 syslog 相关规范来设置数据的分类，Linux的syslog本身有规范一些服务信息，可以通过这些服务来存储系统的信息。Linux系统内核的syslog支持的服务类型主要有下面这些。

ps：16~23 保留给本机用户使用的一些日志文件信息，较常与终端互动。● 信息等级

同一个服务所产生的信息也是有差别的，有启动时仅通知系统而已的一般信息（information），有出现还不至于影响到正常运行的警告信息（warn），还有系统硬件发生严重错误时，所产生的重大问题信息（error）。基本上，Linux内核的syslog将信息分为8个主要的等级，根据syslog.h定义，信息名称与数值的对应如下：

级别	等级	含义
	none	不记录
8	debug	用来debug（除错）时产生的数据
7	info	仅是一些基本的信息说明而已
6	notice	虽然是正常信息，但比info还需要被注意到的一些内容
5	warning（warn）	警示的信息，可能有问题，但是还不至于影响到某个daemon运行的信息
4	err（error）	一些重大的错误信息，例如配置文件的某些设置值造成该服务无法启动的信息说明，通常借由err的错误告知，应该可以了解到该服务无法启动的问题
3	crit	比error还要严重的错误信息，这个crit是临界点（critcal）的缩写，这个错误已经很严重了
2	alert	警告，已经很有问题的等级，比crit还要严重
1	emerg（panic）	疼痛等级，意指系统已经几乎要宕机的状态，很严重的错误等级。通常大概只有硬件出问题，导致整个内核无法顺利运行，就会出现这样的等级信息。

[.=！] 连接符号含义：

. ：代表记录比该等级（含该等级）还要严重的等级信息

.=：代表所需要的等级就是后面接的等级而已，其他的不要

.！：代表不等于，即除了该等级外的其他等级都记录

1.2 具体规则内容

#kern.*：只要是内核产生的信息，全部都送到console（终端）去。console 通常是由外部设备连接到系统而来，举例来说，很多封闭型主机（没有键盘、屏幕的系统）可以通过链接RS232接口将信息传输到外部系统中，例如以笔记本电脑连接到封闭主机的RS232插口。这个项目通常应该是用在系统出现严重问题而无法使用默认的屏幕观察系统时，可以通过这个项目来连接获取内核信息。

*info;mail.none;authpriv.none;cron.none：由于mail、authpriv、cron等类别产生的信息较多，且已写入到下面的对应文件内，除此之外的其他信息均写入到/var/log/messages文件中，所以这也是messages文件很重要的原因。

authpriv.*：认证方面的信息均写入/var/log/secure文件。

mail.*：邮件方面的信息均写入/var/logmaillog文件。

cron.*：计划任务均写入/var/log/cron文件。

*.emerg：当产生最严重的错误等级时，将该等级的信息以wall的方式广播给所有系统登录的账号，要这么做的原因是希望在线的用户能够赶紧通知系统管理员来处理这么可怕的错误问题。

uucp,news.crit：uucp是早起UNIX-like系统进行数据传递的通讯协议，后来常用在新闻组，news则是新闻组。当新闻组方面的信息有严重错误时，就写入/var/log/spooler文件中。

local7.*：将本机启动时应该显示到屏幕的信息写入到/var/log/boot.log文件中

(日志设备)  首先有服务记录日志到特定的local设备，然后再通过rsyslog存储到特定的文件中去

mail.*  -/var/log/maillog ：-表示 由于邮件所产生的信息比较多，因此我们希望邮件产生的信息先存储在速度较快的内存缓冲区中，等到数据量够大了再一次性地将所有数据都写入磁盘，这样有助于日志文件的读取性能。

2. audit日志

2.1 查看audit服务状态

① 使用auditctl -s 查询audit状态

当enabled 为1时表示开启，0为关闭

②再使用service auditd status 命令查看状态是否为running

2.2 audit审计规则

①查看规则

使用auditctl -l 命令（可能为临时生效规则）

查看/etc/audit/audit/audit.rules 文件（永久生效）

b）审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息

1.  查看当前系统时间：date

确认当前系统时间是否为北京时间。

2.  查看日志信息（默认符合）

ausearch -i |more

在/var/log/目录下的文件中查看即可，如message日志

c）应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等

1.确认本地审计记录文件权限

日志文件权限不高于644

2.是否定期备份

确认是否将syslog、audit日志定期备份到日志审计设备中

3.查看轮替规则（详细的文件详解以及参数解释，由于篇幅原因，放在延展知识中更新）

若未定期备份审计记录，确认各日志的轮替规则

syslog配置文件 /etc/logrotate.conf

weekly        #每周清理一次日志文件

rotate 4      #保存四个轮换日志

create        #清除旧日志的同时，创建新的空日志文件

dateext       #使用日期为后缀的回滚文件  #可以去var/log目录下看看

include /etc/logrotate.d  #包含/etc/logrotate.d目录下的所有配置文件

audit配置文件 /etc/audit/auditd.conf

max_log_file = 8

#以兆字节表示的最大日志文件容量。当达到这个容量时，会执行max_log_file _action指定的动作

num_logs = 5

max_log_file_action设置为ROTATE时要保存的日志文件数目。必须是0~99之间的数。如果递 增了日志文件的数目，就可能有必要递增/etc/audit/audit.rules中的内核backlog设置值，以便留出日志循环的时间。如果没有设 置num_logs值，它就默认为0，意味着从来不循环日志文件。

d）应对审计进程进行保护，防止未经授权的中断

1.  判断哪些用户可以对审计进程进行操作

默认情况下，仅root权限账户可中断审计进程

systemctl stop rsyslog.service

service auditd stop

这两条命令都能执行成功，然后审计进程将被关闭，所以我们需要去查看哪些用户能使用这进程管理命令

查看sudo文件配置情况：cat /etc/sudoers，若存在以下配置，则能中断审计进程

2.  audit内核操作权限

核心为auditctl命令权限，默认情况下，仅root账户具有该权限

所以还是看sudoers文件配置，是否存在能越权操作的用户

原文始发于微信公众号（等保不好做啊）：等保2.0测评深入理解—Linux操作系统（六）