linux服務器安全審計怎么弄

材料：

10年積累的成都做網(wǎng)站、成都網(wǎng)站設計經(jīng)驗，可以快速應對客戶對網(wǎng)站的新想法和需求。提供各種問題對應的解決方案。讓選擇我們的客戶得到更好、更有力的網(wǎng)絡服務。我雖然不認識你，你也不認識我。但先網(wǎng)站策劃后付款的網(wǎng)站建設流程，更有屯昌免費網(wǎng)站建設讓你可以放心的選擇與我們合作。

Linux審計系統(tǒng)auditd 套件

步驟：

安裝 auditd

REL/centos默認已經(jīng)安裝了此套件，如果你使用ubuntu server，則要手工安裝它：

sudo apt-get install auditd

它包括以下內(nèi)容：

auditctl :?即時控制審計守護進程的行為的工具，比如如添加規(guī)則等等。

/etc/audit/audit.rules :?記錄審計規(guī)則的文件。

aureport :?查看和生成審計報告的工具。

ausearch :?查找審計事件的工具

auditspd :?轉發(fā)事件通知給其他應用程序，而不是寫入到審計日志文件中。

autrace :?一個用于跟蹤進程的命令。

/etc/audit/auditd.conf :?auditd工具的配置文件。

Audit 文件和目錄訪問審計

首次安裝?auditd?后, 審計規(guī)則是空的?？梢杂?sudo auditctl -l 查看規(guī)則。文件審計用于保護敏感的文件，如保存系統(tǒng)用戶名密碼的passwd文件，文件訪問審計方法：

sudo auditctl -w /etc/passwd -p rwxa

-w path :?指定要監(jiān)控的路徑，上面的命令指定了監(jiān)控的文件路徑 /etc/passwd

-p :?指定觸發(fā)審計的文件/目錄的訪問權限

rwxa ：?指定的觸發(fā)條件，r 讀取權限，w 寫入權限，x 執(zhí)行權限，a 屬性（attr）

目錄進行審計和文件審計相似，方法如下：

$ sudo auditctl -w /production/

以上命令對/production目錄進行保護。

3.?查看審計日志

添加規(guī)則后，我們可以查看 auditd 的日志。使用?ausearch?工具可以查看auditd日志。

sudo ausearch -f /etc/passwd

-f?設定ausearch 調(diào)出 /etc/passwd文件的審計內(nèi)容

4. 查看審計報告

以上命令返回log如下：

time-Mon Dec 22 09:39:16 2016

type=PATH msg=audit(1419215956.471:194): item=0?name="/etc/passwd"

inode=142512 dev=08:01 mode=0100644 ouid=0 ogid=0 rdev=00:00 nametype=NORMAL

type=CWD msg=audit(1419215956.471:194):?cwd="/home/somebody"

type=SYSCALL msg=audit(1419215956.471:194): arch=40000003?syscall=5?

success=yes exit=3 a0=b779694b a1=80000 a2=1b6 a3=b8776aa8 items=1 ppid=2090 pid=2231?auid=4294967295 uid=1000 gid=1000?euid=0 suid=0 fsuid=0 egid=1000 sgid=1000 fsgid=1000 tty=pts0 ses=4294967295

comm="sudo" exe="/usr/bin/sudo"?key=(null)

time :?審計時間。

name :?審計對象

cwd :?當前路徑

syscall :?相關的系統(tǒng)調(diào)用

auid :?審計用戶ID

uid 和 gid :?訪問文件的用戶ID和用戶組ID

comm :?用戶訪問文件的命令

exe :?上面命令的可執(zhí)行文件路徑

以上審計日志顯示文件未被改動。

Linux自帶的審計功能

Linux自帶的script命令，可以記錄終端的輸出，用來完成簡單的審計功能

這樣用戶登陸后執(zhí)行的操作都會記錄到/mnt/log/script/*.log（目錄自己根據(jù)服務器目錄定義）里，這里把用戶ID 大于1000的都記錄下操作。

linux安全審計

selinux你可以直接理解為防火墻加系統(tǒng)權限管理，在防火墻的更上一級。

你的問題可以說涵蓋比較多，先從系統(tǒng)管理權限來說的話，文件使用ls -l來看的話，第一列會有10個例如-rwx--x--x這樣的文字組成的，這個第一位代表這個文件是什么文件，2到4為代表創(chuàng)建者的權限，rwx分別代表讀寫執(zhí)行，5-7代表用戶所在組的權限，8-10代表其他的人。root超級管理員不受這個屬性的控制，每個用戶都有一個基本組，也會有附加組。ls -l第二列代表用戶創(chuàng)建者，第三列代表文件擁有組。還有s和t的權限。請仔細預讀關于linux系統(tǒng)權限管理的相關文獻。這是第一層的安全控制，第二層的控制位iptables，防火墻，主要針對外網(wǎng)對本機的出入口的權限控制。selinux涉及一部分系統(tǒng)管理權限以及防火墻的功能，為第三層安全機制。

linux 服務器 如何進行安全檢查？

眾所周知，網(wǎng)絡安全是一個非常重要的課題，而服務器是網(wǎng)絡安全中最關鍵的環(huán)節(jié)。linux被認為是一個比較安全的Internet服務器，作為一種開放源代碼操作系統(tǒng)，一旦linux系統(tǒng)中發(fā)現(xiàn)有安全漏洞，Internet上來自世界各地的志愿者會踴躍修補它。然而，系統(tǒng)管理員往往不能及時地得到信息并進行更正，這就給黑客以可乘之機。相對于這些系統(tǒng)本身的安全漏洞，更多的安全問題是由不當?shù)呐渲迷斐傻模梢酝ㄟ^適當?shù)呐渲脕矸乐?。服務器上運行的服務越多，不當?shù)呐渲贸霈F(xiàn)的機會也就越多，出現(xiàn)安全問題的可能性就越大。對此，下面將介紹一些增強linux/Unix服務器系統(tǒng)安全性的知識。 一、系統(tǒng)安全記錄文件 操作系統(tǒng)內(nèi)部的記錄文件是檢測是否有網(wǎng)絡入侵的重要線索。如果您的系統(tǒng)是直接連到Internet，您發(fā)現(xiàn)有很多人對您的系統(tǒng)做Telnet/FTP登錄嘗試，可以運行"#more/var/log/secure　greprefused"來檢查系統(tǒng)所受到的攻擊，以便采取相應的對策，如使用SSH來替換Telnet/rlogin等。 二、啟動和登錄安全性 1 #echo》/etc/issue 然后，進行如下操作： #rm-f/etc/issue #rm-f/etc/issue 三、限制網(wǎng)絡訪問 1(ro，root_squash) /dir/to/exporthost2(ro，root_squash) /dir/to/export是您想輸出的目錄，host是登錄這個目錄的機器名，ro意味著mount成只讀系統(tǒng)，root_squash禁止root寫入該目錄。為了使改動生效，運行如下命令。 #/usr/sbin/exportfs-a 2"表示允許IP地址192允許通過SSH連接。 配置完成后，可以用tcpdchk檢查： #tcpdchk tcpchk是TCP_Wrapper配置檢查工具，它檢查您的tcpwrapper配置并報告所有發(fā)現(xiàn)的潛在/存在的問題。 3.登錄終端設置 /etc/securetty文件指定了允許root登錄的tty設備，由/bin/login程序讀取，其格式是一個被允許的名字列表，您可以編輯/etc/securetty且注釋掉如下的行。 #tty1 #tty2 #tty3 #tty4 #tty5 #tty6 這時，root僅可在tty1終端登錄。 4.避免顯示系統(tǒng)和版本信息。 如果您希望遠程登錄用戶看不到系統(tǒng)和版本信息，可以通過一下操作改變/etc/inetd.conf文件： telnetstreamtcpnowaitroot/usr/sbin/tcpdin.telnetd-h 加-h表示telnet不顯示系統(tǒng)信息，而僅僅顯示"login:" 四、防止攻擊 1.阻止ping如果沒人能ping通您的系統(tǒng)，安全性自然增加了。為此，可以在/etc/rc.d/rc.local文件中增加如下一行：