最近2018中文字幕在日韩欧美国产成人片_国产日韩精品一区二区在线_在线观看成年美女黄网色视频_国产精品一区三区五区_国产精彩刺激乱对白_看黄色黄大色黄片免费_人人超碰自拍cao_国产高清av在线_亚洲精品电影av_日韩美女尤物视频网站

Linux 主機(jī)審計(jì)

Linux 主機(jī)審計(jì)

喀什網(wǎng)站制作公司哪家好，找成都創(chuàng)新互聯(lián)公司！從網(wǎng)頁(yè)設(shè)計(jì)、網(wǎng)站建設(shè)、微信開(kāi)發(fā)、APP開(kāi)發(fā)、響應(yīng)式網(wǎng)站等網(wǎng)站項(xiàng)目制作，到程序開(kāi)發(fā)，運(yùn)營(yíng)維護(hù)。成都創(chuàng)新互聯(lián)公司于2013年創(chuàng)立到現(xiàn)在10年的時(shí)間，我們擁有了豐富的建站經(jīng)驗(yàn)和運(yùn)維經(jīng)驗(yàn)，來(lái)保證我們的工作的順利進(jìn)行。專注于網(wǎng)站建設(shè)就選成都創(chuàng)新互聯(lián)公司。

Linux操作系統(tǒng)可以通過(guò)設(shè)置日志文件可以對(duì)每個(gè)用戶的每一條命令進(jìn)行紀(jì)錄，不過(guò)這一功能默認(rèn)是沒(méi)有打開(kāi)的。

開(kāi)啟這個(gè)功能的過(guò)程：

# touch /var/log/pacct

# action /var/log/pact

也可以用自已的文件來(lái)代替/var/log/pacct這個(gè)文件。但必須路徑和文件名的正確。

sa命令與 ac 命令一樣，sa 是一個(gè)統(tǒng)計(jì)命令。該命令可以獲得每個(gè)用戶或每個(gè)命令的進(jìn)程使用的大致情況，并且提供了系統(tǒng)資源的消費(fèi)信息。在很大程度上，sa 又是一個(gè)記帳命令，對(duì)于識(shí)別特殊用戶，特別是已知特殊用戶使用的可疑命令十分有用。另外，由于信息量很大,需要處理腳本或程序篩選這些信息。

lastcomm命令, 與 sa 命令不同，lastcomm 命令提供每一個(gè)命令的輸出結(jié)果，同時(shí)打印出與執(zhí)行每個(gè)命令有關(guān)的時(shí)間印戳。就這一點(diǎn)而說(shuō)，lastcomm 比 sa 更有安全性。如果系統(tǒng)被入侵，請(qǐng)不要相信在 lastlog、utmp、wtm中記錄的信息，但也不要忽略，因?yàn)檫@些信息可能被修改過(guò)了。另外有可能有人替換了who程序來(lái)掩人耳目。通常，在已經(jīng)識(shí)別某些可疑活動(dòng)后，進(jìn)程記帳可以有效的發(fā)揮作用。使用 lastcomm 可以隔絕用戶活動(dòng)或在特定時(shí)間執(zhí)行命令。

3、使用logrorate對(duì)審計(jì)文件管理

/var/log/utmp，/var/log/wtmp和/var/log/pacct文件都是動(dòng)態(tài)的數(shù)據(jù)文件。wtmp和pacct文件是在文件尾部不斷地增加記錄。在繁忙的網(wǎng)絡(luò)上，這些文件會(huì)變得很大。Linux提供了一個(gè)叫l(wèi)ogrotate的程序，它允許管理員對(duì)這些文件進(jìn)行管理。

Logrotate讀取/etc/logrotate.d目錄下的文件。管理員通過(guò)該目錄下的腳本文件，控制logrotate程序的運(yùn)作。一個(gè)典型的腳本文件如下：

{

rotate 5

weekly

errors root@serve1r

mail root@server1

copytruncate

compress

size 100k

}

腳本文件的含義如下：

● rotate 5——保留該文件一份當(dāng)前的備份和5份舊的備份。

● weekly——每周處理文件一次，通常是一周的第一天。

● errors——向郵件地址發(fā)送錯(cuò)誤報(bào)告。

● mail——向郵件地址發(fā)送相關(guān)的信息。

● copytruncate——允許進(jìn)程持續(xù)地記錄，備份文件創(chuàng)建后，把活動(dòng)的日志文件清空。

● compress——使用gzip工具對(duì)舊的日志文件進(jìn)行壓縮。

● size 100k——當(dāng)文件超過(guò)100k 時(shí)自動(dòng)處理。

linux服務(wù)器安全審計(jì)怎么弄

材料：

Linux審計(jì)系統(tǒng)auditd 套件

步驟：

安裝 auditd

REL/centos默認(rèn)已經(jīng)安裝了此套件，如果你使用ubuntu server，則要手工安裝它：

sudo apt-get install auditd

它包括以下內(nèi)容：

auditctl :?即時(shí)控制審計(jì)守護(hù)進(jìn)程的行為的工具，比如如添加規(guī)則等等。

/etc/audit/audit.rules :?記錄審計(jì)規(guī)則的文件。

aureport :?查看和生成審計(jì)報(bào)告的工具。

ausearch :?查找審計(jì)事件的工具

auditspd :?轉(zhuǎn)發(fā)事件通知給其他應(yīng)用程序，而不是寫入到審計(jì)日志文件中。

autrace :?一個(gè)用于跟蹤進(jìn)程的命令。

/etc/audit/auditd.conf :?auditd工具的配置文件。

Audit 文件和目錄訪問(wèn)審計(jì)

首次安裝?auditd?后, 審計(jì)規(guī)則是空的。可以用?sudo auditctl -l 查看規(guī)則。文件審計(jì)用于保護(hù)敏感的文件，如保存系統(tǒng)用戶名密碼的passwd文件，文件訪問(wèn)審計(jì)方法：

sudo auditctl -w /etc/passwd -p rwxa

-w path :?指定要監(jiān)控的路徑，上面的命令指定了監(jiān)控的文件路徑 /etc/passwd

-p :?指定觸發(fā)審計(jì)的文件/目錄的訪問(wèn)權(quán)限

rwxa ：?指定的觸發(fā)條件，r 讀取權(quán)限，w 寫入權(quán)限，x 執(zhí)行權(quán)限，a 屬性（attr）

目錄進(jìn)行審計(jì)和文件審計(jì)相似，方法如下：

$ sudo auditctl -w /production/

以上命令對(duì)/production目錄進(jìn)行保護(hù)。

3.?查看審計(jì)日志

添加規(guī)則后，我們可以查看 auditd 的日志。使用?ausearch?工具可以查看auditd日志。

sudo ausearch -f /etc/passwd

-f?設(shè)定ausearch 調(diào)出 /etc/passwd文件的審計(jì)內(nèi)容

4. 查看審計(jì)報(bào)告

以上命令返回log如下：

time-Mon Dec 22 09:39:16 2016

type=PATH msg=audit(1419215956.471:194): item=0?name="/etc/passwd"

inode=142512 dev=08:01 mode=0100644 ouid=0 ogid=0 rdev=00:00 nametype=NORMAL

type=CWD msg=audit(1419215956.471:194):?cwd="/home/somebody"

type=SYSCALL msg=audit(1419215956.471:194): arch=40000003?syscall=5?

success=yes exit=3 a0=b779694b a1=80000 a2=1b6 a3=b8776aa8 items=1 ppid=2090 pid=2231?auid=4294967295 uid=1000 gid=1000?euid=0 suid=0 fsuid=0 egid=1000 sgid=1000 fsgid=1000 tty=pts0 ses=4294967295

comm="sudo" exe="/usr/bin/sudo"?key=(null)

time :?審計(jì)時(shí)間。

name :?審計(jì)對(duì)象

cwd :?當(dāng)前路徑

syscall :?相關(guān)的系統(tǒng)調(diào)用

auid :?審計(jì)用戶ID

uid 和 gid :?訪問(wèn)文件的用戶ID和用戶組ID

comm :?用戶訪問(wèn)文件的命令

exe :?上面命令的可執(zhí)行文件路徑

以上審計(jì)日志顯示文件未被改動(dòng)。

Linux自帶的審計(jì)功能

Linux自帶的script命令，可以記錄終端的輸出，用來(lái)完成簡(jiǎn)單的審計(jì)功能

這樣用戶登陸后執(zhí)行的操作都會(huì)記錄到/mnt/log/script/*.log（目錄自己根據(jù)服務(wù)器目錄定義）里，這里把用戶ID 大于1000的都記錄下操作。

當(dāng)前文章：linux查看審計(jì)的命令 ssh審計(jì)命令
分享網(wǎng)址：http://fisionsoft.com.cn/article/dohhcsh.html