操作系统的日志安全配置是安全管理的重要工作。在等保中,要求开启日志,并且能保护日志不被攻击者删除、篡改或伪造,可通过部署日志服务器或将日志转存备份的方式,将日志至少保存6个月。
a)应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计
Linux操作系统的auditd进程主要用来记录安全信息。用于对系统安全事件的追溯;而rsyslog进程用来记录系统中的各种信息,如硬件报警和软件日志。Linux操作系统在安全审计配置文件/etc/audit/audit.rules中配置安全事件审计规则。
一、查看是否开启了审计进程
service auditd status
service rsyslog status
如果没有开启,就使用下面命令去开启
chkconfig auditd onchkconfig rsyslog on
b)审计记录应包括事件的日期和时间,用户、事件类型,事件是否成功及其他与审计相关的信息
详细的审计记录才能实现有效的审计,审计记录应该包括事件的日期、时间、类型、主体标识、客体标识和结果等。通过记录中的详细信息,能够帮助管理员或其他相关检查人员准确地分析和定位事件。Linux用户空间审计系统由auditd、ausearch和aureport等应用程序组成,其中ausearch是查找审计事件的工具,可以用来查看系统日志。
以有相应权限的身份登录进入Linux,使用命令"ausearch -ts today ”,其中,-ts指定时间后的log,或命令"tail -20 /var/log/audit/audit.log“查看审计日志
ausearch -ts today
tail -20 /var/log/audit/audit.log
c)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等
非法用户进入系统后的第一件事情就是去清理系统日志和审计日志,而发现入侵的最简单最直接的方法就是去看系统记录和安全审计文件。因此,必须对审计记录进行安全保护,避免受到未预期的删除修改或覆盖等。
可访谈审计记录的存储、备份和保护的措施,是否将操作系统日志定时发送到日志服务器上等,并使用sylog方式或smp方式将日志发送到日志服务器。如果部署了日志服务器,登录日志服务器查看操作系统的日志是否在收集的范围内。
d)应对审计进程进行保护,防止未经授权的中断
保护好审计进程,当安全事件发生时能够及时记录事件发生的详细内容。在Linux中,Auditd是审计守护进程, syslogd是日志守护进程,保护好审计进程,当事件发生时,能够及时记录事件发生的详细内容。
检查方法:
1)访谈对审计进程监控和保护的措施
2)测试使用非安全审计员中断审计进程,查看审计进程的访问权限是否设置合理。
3)查看是否有第三方系统对被测操作系统的审计进程进行监控和保护
参考:主要参考了等保2.0初级教材,大部分语言直接使用
原文始发于微信公众号(透明魔方):等保下基于CentOS7设置安全审计
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论