linux 安全审计

1.审计范围应覆盖到服务器和重要客户端上的每个操作系统用户

应限制root用户直接登录到系统

ssh
cat /etc/ssh/sshd_config
PermitRootLogin no|yes 未被注释掉,且为yes

adm账户登陆
cat /var/adm/loginlog

syslog.conf安全设置
more /etc/syslog.conf
是否设置了下列项:
kern.warning;*.err;
authpriv.none\[email protected]*.info;
mail.none;authpriv.none;
cron.none\[email protected]*.emerg\[email protected]*\[email protected]

历史记录
/.sh_history
/.bash_history

日志计划
cat /etc/logrotate.conf
配置文件中是否定义了message、syslog、su日志记录的大小以及存储方式
/var/log/message { monthly minsize 10M rotate 12}
每周备份一次、最大文件为10m、保留12周日志

2.审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件

secure日志
more /var/log/secure

wtmp日志
who /var/log/wtmp
查看是否存在未知的链接信息

3.审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等

审计日志内容
more /var/log/messages
审计内容包括时间的日期、时间、类型、主体、客体和结果如:
message日志Oct 31 10:22:59 localhost kernel: hdc: drive_cmd: error=0x04 { AbortedCommand }дрейпингпродвижение в социальных сетяхкак приготовить курицу гриль домахакерские программы для взлома паролей скачать бесплатноvisiting st. petersburg russiaНа что обратить внимание при доставке грузов из Китая