linux命令審計(jì) linux命令審計(jì)原理

linux系統(tǒng)中,系統(tǒng)審計(jì)的對(duì)象是

1、信息安全審計(jì)的主要對(duì)象是用戶(hù)、主機(jī)和節(jié)點(diǎn)。信息安全審計(jì)， 揭示信息安全風(fēng)險(xiǎn)的最佳手段， 改進(jìn)信息安全現(xiàn)狀的有效途徑，滿(mǎn)足信息安全合規(guī)要求的有力武器。根據(jù)預(yù)先確定的審計(jì)依據(jù)（信息安全法規(guī)、標(biāo)準(zhǔn)及用戶(hù)自己的規(guī)章制度等）。

創(chuàng)新互聯(lián)建站-專(zhuān)業(yè)網(wǎng)站定制、快速模板網(wǎng)站建設(shè)、高性?xún)r(jià)比永嘉網(wǎng)站開(kāi)發(fā)、企業(yè)建站全套包干低至880元,成熟完善的模板庫(kù),直接使用。一站式永嘉網(wǎng)站制作公司更省心,省錢(qián),快速模板網(wǎng)站建設(shè)找我們，業(yè)務(wù)覆蓋永嘉地區(qū)。費(fèi)用合理售后完善，10多年實(shí)體公司更值得信賴(lài)。

2、用戶(hù)名為student，密碼儲(chǔ)存在/etc/shadow文件中，用戶(hù)ID為503，組ID為503，用戶(hù)相關(guān)信息為空，主目錄為/home/student，默認(rèn)shell為/bin/bash。

3、信息系統(tǒng)審計(jì)（又稱(chēng)IT審計(jì)）是為了信息系統(tǒng)的安全、可靠與有效，由獨(dú)立于審計(jì)對(duì)象的IT審計(jì)師，以第三方的客觀立場(chǎng)對(duì)以計(jì)算機(jī)為核心的信息系統(tǒng)進(jìn)行綜合的檢查與評(píng)價(jià)，向IT審計(jì)對(duì)象的最高領(lǐng)導(dǎo)層，提出問(wèn)題與建議的一連串的活動(dòng)。

4、沒(méi)有設(shè)置正確的文件共享權(quán)限：沒(méi)有正確設(shè)置Windows和Linux系統(tǒng)之間的文件共享權(quán)限，WinMount在掛載時(shí)會(huì)出錯(cuò)。沒(méi)有安裝必要的協(xié)議軟件包：沒(méi)有安裝必要的SMB或CIFS協(xié)議軟件包來(lái)連接Windows共享，WinMount在掛載時(shí)會(huì)出錯(cuò)。

5、打開(kāi)控制面板，點(diǎn)擊其中的“系統(tǒng)與安全”。點(diǎn)擊“Windows 防火墻”之后，打開(kāi)“高級(jí)設(shè)置”。點(diǎn)擊“出站規(guī)則”--新建規(guī)則。點(diǎn)擊“程序”--瀏覽--找到需要阻止訪(fǎng)問(wèn)網(wǎng)絡(luò)的程序。

為什么建專(zhuān)用審計(jì)賬戶(hù),linux

多人共同使用的服務(wù)器權(quán)限確實(shí)不好管理，誤操作等造成故障，無(wú)法追究，最好的辦法就是將用戶(hù)操作實(shí)時(shí)記錄到日志，并推送到遠(yuǎn)程日志服務(wù)器上。包括（用戶(hù)登陸時(shí)間，目錄，操作命令及時(shí)間戳等)。以便事后追查。

一種是，通過(guò)收取linux操作系統(tǒng)上的日志，來(lái)進(jìn)行審計(jì)。優(yōu)點(diǎn)是全面，內(nèi)容是零散，缺乏直觀性，一般需要專(zhuān)業(yè)的軟件來(lái)收集和呈現(xiàn)，同時(shí)由于容易被刪除，可能導(dǎo)致關(guān)鍵審計(jì)信息缺失問(wèn)題，以及由于共享賬號(hào)問(wèn)題，導(dǎo)致無(wú)法定位到人。

linux系統(tǒng)中，系統(tǒng)審計(jì)的對(duì)象是audit審計(jì)服務(wù)、syslog日志系統(tǒng)。audit服務(wù)，專(zhuān)門(mén)用來(lái)記錄安全信息，用于對(duì)系統(tǒng)安全事件的追溯；syslog日志系統(tǒng)，用來(lái)記錄系統(tǒng)中的各種信息，如安全、調(diào)試、運(yùn)行信息等。

使用logrorate對(duì)審計(jì)文件管理 /var/log/utmp，/var/log/wtmp和/var/log/pacct文件都是動(dòng)態(tài)的數(shù)據(jù)文件。wtmp和pacct文件是在文件尾部不斷地增加記錄。在繁忙的網(wǎng)絡(luò)上，這些文件會(huì)變得很大。

而設(shè)備獨(dú)立性的操作系統(tǒng)能夠容納任意種類(lèi)及任意數(shù)量的設(shè)備，因?yàn)槊恳粋€(gè)設(shè)備都是通過(guò)其與內(nèi)核的專(zhuān)用連接獨(dú)立進(jìn)行訪(fǎng)問(wèn)。

專(zhuān)用賬戶(hù)是指企業(yè)為滿(mǎn)足特定用途而開(kāi)設(shè)的賬戶(hù)。如：納稅專(zhuān)用賬戶(hù)、貸款專(zhuān)用賬戶(hù)等。專(zhuān)用賬戶(hù)只能辦理轉(zhuǎn)賬業(yè)務(wù)，不能提取現(xiàn)金。

Linux系統(tǒng)上記錄MYSQL操作的審計(jì)日志

后來(lái)在在~/.mysql_history文件找到了操作記錄，估計(jì)是這個(gè)文件還存在的原因，刪除后才記錄到新的MYSQL_HISTFILE定義的路徑。

journalctl不記錄MySQL啟動(dòng)日志的原因是因?yàn)镸ySQL的啟動(dòng)日志通常會(huì)輸出到MySQL的錯(cuò)誤日志文件中，而不是系統(tǒng)的系統(tǒng)日志中。Journalctl是Linux系統(tǒng)的日志管理工具，它主要查看和管理系統(tǒng)日志，包括內(nèi)核消息、系統(tǒng)服務(wù)消息等。

在后期審計(jì)進(jìn)行行為追蹤時(shí)，根據(jù)binlog記錄的行為及對(duì)應(yīng)的connection-id 結(jié)合 之前連接日志記錄 進(jìn)行分析，得出最后的結(jié)論。

MySQL的日志操作：首先，登陸mysql后，執(zhí)行sql語(yǔ)句：show variables like log_bin。#錯(cuò)誤日志log-errol開(kāi)啟方式：在my.ini的[mysqld]選項(xiàng)下：添加代碼：log-error=E：\log-error.txt。

Linux 主機(jī)審計(jì) Linux操作系統(tǒng)可以通過(guò)設(shè)置日志文件可以對(duì)每個(gè)用戶(hù)的每一條命令進(jìn)行紀(jì)錄，不過(guò)這一功能默認(rèn)是沒(méi)有打開(kāi)的。

如何查看linux系統(tǒng)內(nèi)核審計(jì)是否開(kāi)啟

1、當(dāng)正常安裝完SUSE Linux Enterprise Server 時(shí)，很多初學(xué)者無(wú)法通過(guò)SecureCRT或者PuTTY之類(lèi)的終端程序進(jìn)行ssh連接，感到束手無(wú)策，其實(shí)ssh服務(wù)是默認(rèn)開(kāi)啟的，只是默認(rèn)防火墻開(kāi)啟了，可以通過(guò)YAST關(guān)閉，也可以通過(guò)命令行關(guān)閉。

2、psaux或netstat-tlunpps是進(jìn)程查看命令 netstat是端口查看命令 在Linux系統(tǒng)中，服務(wù)一定是有進(jìn)程的，所以使用ps命令可以查看服務(wù)運(yùn)行情況。另外，Linux服務(wù)多數(shù)是網(wǎng)絡(luò)服務(wù)，所以通過(guò)netstat命令也可以查看服務(wù)運(yùn)行狀態(tài)。

3、debian系統(tǒng)無(wú)法查看是否開(kāi)啟日志審計(jì)功能。debian系統(tǒng)功能列表中沒(méi)有查看是否開(kāi)啟日志審計(jì)的功能，用戶(hù)無(wú)法進(jìn)行操作。

當(dāng)前標(biāo)題：linux命令審計(jì) linux命令審計(jì)原理
文章來(lái)源：http://bm7419.com/article11/dgpdcgd.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供外貿(mào)建站、定制網(wǎng)站、品牌網(wǎng)站建設(shè)、網(wǎng)頁(yè)設(shè)計(jì)公司、標(biāo)簽優(yōu)化、網(wǎng)站營(yíng)銷(xiāo)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶(hù)投稿、用戶(hù)轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話(huà)：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)