江苏龙网

  1. 主页 > 生活百科 > >

linux等保三级检查命令( 三 )

Linux


service rsyslog status(安全审计)
//查看命令结果Active: active (running) 表示正在运行
service auditd status(安全审计守护)
//查看命令结果Active: active (running) 表示正在运行
ps -ef |grep auditd(安全审计守护进程)
//查看命令结果发现有audit进程表示进程正在开启
auditctl -s(查看audit模块是否开启)
//查看命令结果(enabled 1“开启” 0“关闭”)
//安全审计
//安全审计守护
//安全审计守护进程
//安全审计模块
2、应核查安全审计范围是否覆盖到每个用户;
查看配置
(日志审核more /etc/rsyslog.conf)
//文件有相关的审计策略
(安全事件配more/etc/audit/filter.conf)(通常情况下没得这个文件夹)
//文件有相关的审计策略
(日志审核策more/etc/audit/audit.rules)(通常情况下显示—D -bXXX(xxx代表内存))
//文件里面有相关的安全审计策略
题外话:审计的相关资料
1、/etc/audit/auditd.conf 配置例子
#vi /etc/audit/auditd.conf
#第 5 行设置日志文件
log_file = /var/log/audit/audit.log
#第 11 行设置日志文件轮询的数目,它是 0~99 之间的数 。如果设置为小于 2,则不会循环日志 。如果没有设置 num_logs 值,它就默认为 0,意味着从来不循环日志文件
num_logs = 5
#第 14 行设置日志文件是否使用主机名称,一般选 NONE
name_format = NONE
#第五行设置日志文件大小,以兆字节表示的最大日志文件容量 。当达到这个容量时,会执行 max_log_file _action 指定的动作
max_log_file = 6
#第 17 行设置日志文件到达最大值后的动作,这里选择 ROTATE(轮询)
max_log_file_action = ROTATE
2、auditctl 命令简介
auditctl 命令是 Linux 用户空间审计系统的最主要的部分,命令格式:
1
auditctl [选项] filter,action -S syscall -F condition -k label
主要参数说明见表 1
表 1. auditctl 命令选项
项目 可选参数 説明
filter user,exit,task,exclude filter 详细说明哪个内核规则匹配过滤器应用在事件中 。以下是其中之一的与规则匹配的过
滤器: task、exit、user 以及 exclude
action always, never 是否审核事件(always 表示是)(never 表示否)
syscall all, 2, open 等 所有的系统调用都可以在/usr/include/asm/unistd_64.h 文件中找到 。许多系统调用都能形成一个规则
condition euid=0, arch=b64 详细说明其他选项,进一步修改规则来与以特定架构、组 ID、进程 ID 和其他内容为基础的事件相匹配
label 任意文字 标记审核事件并检索日志
-S 表示系统调用号或名字
-F 表示规则域 。
-k 表示设置审计规则上的过滤关键
3、
audit 审计规则分成三个部分:
控制规则:这些规则用于更改审计系统本身的配置和设置 。
文件系统规则:这些是文件或目录监视 。使用这些规则,我们可以审核对特定文件或目录的任何类型的访问 。
系统调用规则:这些规则用于监视由任何进程或特定用户进行的系统调用 。
控制规则
控制规则可以在/etc/audit/audit.rules 中设置 。主要包括:
-D #删除所有当前装载的审核规则#
-b 8192 #在内核中设定最大数量的已存在的审核缓冲区为 8Mb#
-e 2 #锁定审核配置#
文件系统规则
可以通过 auditctl 命令设置 。监控文件系统行为(依靠文件、目录的权限属性来识别)
规则格式:
-w 路径
-p 权限
-k 关键字
其中-p 权限的动作分为四种
r — 读取文件或者目录 。
w — 写入文件或者目录 。
x — 运行文件或者目录 。
a — 改变在文件或者目录中的属性 。
例如要监控/etc/passwd 文件的修改行为,可以使用这个命令: #auditctl -w /etc/passwd -p wa
也可以自己将上述内容加入到文件/etc/audit/rules.d/audit.rules 中即可实现对该文件的监视 。
3、应核查是否对重要的用户行为和重要安全事件进行审计 。
日志总览;
(aureport -i)
//Range of time in logs:XXXXXXXXXX(日志中的时间范围)
Selected time for report:XXXXXXXXXX(选定的报告时间)
4、查看日志文件是否有6个月:
(more /var/log/audit/audit.log.X)(X代表变量,具体看系统存在几个日志文件)
(head -10 /var/log/audit/audit.log.X)
(tial -10 /var/log/audit/audit.log.X)
//可以使用head(查看前几行)、tail(查看末尾几行)两个命令
(msg=audit(1626333001)


推荐阅读


上一篇:六旬大妈深信“能赚钱” 民警“霸气追讨”终挽损

下一篇:盘点5个非常实用的开源工具