189 8069 5689

服务器设置安全审计用户 服务器安全审计功能 怎么配置

Windows 7是否具有安全审计的功能

Win7对审计功能做了很大的优化,简化配置的同时,增加了对特定用户和用户组的管理措施,特殊人物可以特殊对待。

创新互联建站为您提适合企业的网站设计 让您的网站在搜索引擎具有高度排名,让您的网站具备超强的网络竞争力!结合企业自身,进行网站设计及把握,最后结合企业文化和具体宗旨等,才能创作出一份性化解决方案。从网站策划到网站建设、成都网站制作, 我们的网页设计师为您提供的解决方案。

当将某个文件夹设置为共享后,可以通过操作系统的访问审核功能,让系统记录下访问这个共享文件 的相关信息。这个功能在Windows7以前的操作系统版本中就可以实现。此时的安全审核在共享级。共享 时一个文件服务器的入口点伏派,以便允许用户访问文件服务器上的特定目录。注意,共享级别的安全审核 ,无法做到审计文件访问,即文件级别的安全审核访问。也就是说,现在只是针对一个单独的文件需要 设置审计文件访问,在FAT32等比较老的文件系统中无法实现,他们只能够针对整个文件加设置访问审计 ,而无法针对特定的文件。

一、在文件级别还是在共享级别设置安全审计

共享级别安全性只能够在文件夹上设置安全审计,所以其灵活性相对差一点。而文件级别的安全 审计,可以在特定的服务器上、目录或者文件上设置审计。故系统管理员的灵活性比较高,可以根据时 机需要,在合适的地方部署安全审计。如可以对NTFS分区进行审计允许告知系统管理员谁在访问或者试 图访问特定的目录。在Windows网络中, 对一些关键网络资源的访问进行审计,是提高网络安全与企业 数据安全的比较通用的手法,可以通过安全审计来确定是否有人正试图访问受限制的信息。

在哪 个级别上设置安全审计比较有利呢?这主要看用户的需要。如在一个文件夹中,有数以百计的文件。而其 实比较机密的可能就是五、六个文件。此时如果在文件夹级别上实现安全访问审计的话,那么在安全日 志中,其审核记录会很多。此时查看起来反而会非常的不方便,有时候反而有用的记录会被那些无用记 录所遮挡掉。为此,如果一个文件夹中文件或者子文件夹比较多,而有审计要求的文件又在少数,此时 显然在文件级别上(即对特定的几个文件)设置“审计文件访问”比较合改厅败适。如此可以减少系 统管理员后续维护的工作量。相反,在共享文件中,有一个特定的文件夹专门用来放置一些机密文件, 此时就是在文件夹级别上实现安全审计更加的合理。可见在哪个级别上来实现安全审计策略,并没有一 个固定的标准。这主要看用户需求来定的。如果一定要说出一个具体的参考标准,那么可以根据如下这 个准则来选择,即在哪个级别上所产生的审核记录最少而且可以涵盖用户的安全需求,就在哪个级别上 设置安全访问审计。简单的说,就是同时满足两个条件。一是产生的审核记录最少,便于阅读;二是需要 满足用户安全方面的需求。往往则两个条件是相互矛盾的,系统管理员需要在他们之间取得一个均衡。

二、该选用什么样的安全审计策略?

在审计文件访问策略中,可以根据需要选择多种安全 审计策略,即可以告诉操作系统,在发生哪些操作时将访问的信息记入到安全日志中,包括访问人员、 访问者的电脑、访问时间、进行了什么操作等等。如果将全部的访问操作都记录在日志中,那么日志的 容量会变得很大,反而不易于后许的维护与管理。为此系统管理员在设置审计文件访问策略时,往往需 要选择一些特定的事件,以减少安全访问日志的容量。为了达到这个目的,下面的一些建议各位系统管 理员可以参考一下。

一是最少访问操作原则。在Windows7种,将这个访问操作分为很细,如修改 权限、更改所有者等等十多种访问操作。虽然系统管理员需要花一定的时间去考虑该选择哪些操作或者 进行相关的设置,但是对于系统管理员来说这仍然是一个福音。权限细分意味着管理员选择特定的访问 操作之后,就可以得到最少的审核记录。简单的说,“产生的审核记录最少而且可以涵盖用户的安 全核颤需求”这个目标更容易实现。因为在实际工作中,往往只需要对特定的操作进行审计即可。如只 对用户更改文件内容或者访问文件等少部分操作进行审计即可。而不需要对全部操作进行审计。如此产 生的审计记录就会少的多,同时用户的安全需求也得以实现。

二是失败操作优先选择。对于任何 的操作,系统都分为成功与失败两种情况。在大部分情况下,为了收集用户非法访问的信息,只需要让 系统记入失败事件即可。如某个用户,其只能够只读访问某个共享文件。此时管理员就可以给这个文件 设置一个安全访问策略。当用户尝试更改这个文件时将这个信息记入下来。而对于其他的操作,如正常 访问时则不会记录相关的信息。这也可以大幅度的减少安全审计记录。所以笔者建议,一般情况下只要 启用失败事件即可。在其不能够满足需求的情况下,才考虑同时启用成功事件记录。此时一些合法用户 合法访问文件的信息也会被记录下来,此时需要注意的是,安全日志中的内容可能会成倍的增加。在 Windows7操作系统中可以通过刷选的方式来过滤日志的内容,如可以按“失败事件”,让系 统只列出那些失败的记录,以减少系统管理员的阅读量。

三、如何利用蜜糖策略收集非法访问者 的信息?

在实际工作中,系统管理员还可以采用一些“蜜糖策略”来收集非法访问者 的信息。什么叫做蜜糖策略呢?其实就是在网络上放点蜜糖,吸引一些想偷蜜的蜜蜂,并将他们的信息记 录下来。如可以在网络的共享文件上,设置一些看似比较重要的文件。然后在这些文件上设置审计访问 策略。如此,就可以成功地收集那些不怀好意的非法入侵者。不过这守纪起来的信息,往往不能够作为 证据使用。而只能够作为一种访问的措施。即系统管理员可以通过这种手段来判断企业网络中是否存在 着一些“不安分子”,老是试图访问一些未经授权的文件,或者对某些文件进行越权操作, 如恶意更改或者删除文件等等。知己知彼,才能够购百战百胜。收集了这些信息之后,系统管理员才可 以采取对应的措施。如加强对这个用户的监控,或者检查一下这个用户的主机是否已经成为了别人的肉 鸡等等。总之系统管理员可以利用这种机制来成功识别内部或者外部的非法访问者,以防止他们做出更 加严重的破坏。

四、注意:文件替换并不会影响原有的审计访问策略。

如上图中,有一 个叫做捕获的图片文件,笔者为其设置了文件级别的安全审计访问,没有在其文件夹“新建文件夹 ”上设置任何的安全审计访问策略。此时,笔者如果将某个相同的文件(文件名相同且没有设置任 何的安全审计访问策略)复制到这个文件夹中,把原先的文件覆盖掉。注意此时将这个没有设置任何的安 全审计访问策略。文件复制过去之后,因为同名会将原先的文件覆盖掉。但是,此时这个安全审计访问 策略的话就转移到新复制过去的那个文件上了。换句话说,现在新的文件有了原来覆盖掉的那个文件的 安全审计访问权限。这是一个很奇怪的现象,笔者也是在无意之中发现。不知道这是Windows7 操作系统 的一个漏洞呢,还是其故意这么设置的?这有待微软操作系统的开发者来解释了。

除了服务器系统之外,windows7系统的安全性也是非常值得信任的,也正因为它极高的安全防护受到了很多用户的喜爱,拥有着一群广泛的体验用户,究竟是怎样的安全机制来保护着系统呢,让我们去认识一下windows7系统下强大的安全功能吧。

1、Kernel Patch:系统级的安全平台的一个亮点就是kernel patch,它可以阻止对进程列表等核心信息的恶意修改,这种安全保护这只有在操作系统能实现,其他杀毒软件是无法实现的。

2、进程权限控制:低级别的进程不能修改高级别的进程。

3、用户权限控制UAC:将用户从管理员权限级别移开,在缺省条件下用户不再一直使用管理员权限,虽然UAC一直被争议,在使用中笔者也常常感到繁琐,但用户权限控制确实是操作系统的发展趋势,因为用户一直使用管理员权限是非常危险的。

当然,Win7还是有了很大的改善,在Vista下,UAC管理范围很宽,很多应用都碰到UAC提示。而在Win7里,减少了需要UAC提示的操作,强调安全的同时更加注重用户体验

4、审计功能:Win7对审计功能做了很大的优化,简化配置的同时,增加了对特定用户和用户组的管理措施,特殊人物可以特殊对待。

5、安全访问:一台机器上多个防火墙的配置。Win7里面可以同时配置存储多个防火墙配置,随着用户位置的变换,自动切换到不同的防火墙配置里。

6、DNSSec支持:增强了域名解析协议标准,老的DNS是有风险的,因此增加了对DNS增强版DNSSec的支持。

7、NAP网络权限保护:这个是在VISTA中就引入的功能,里继续继承了。可以对电脑进行健康检验。

8、DirectAccess安全无缝的同公司网络连接:远程用户通过VPN难以访问公司资源,IT面临对远程机器管理的挑战。win7系统的解决方案就是DirectAccess,提供了公司内外对公司资源的一致性访问体验。提高远程用户的效率。唯一的局限在于,只能在server2008系统中才能使用。

9、应用程序控制AppLocker:禁止非授权的应用程序在网络运行。对应用程序进行标准化管理,通过Group Policy进行管理。其中一个亮点是规则简单,可以基于厂商的信任认证,比如你把AAA公司设为黑名单,以后所有这个公司的软件产品和程序,都会被拒绝。

10、数据保护BitLocker:保护笔记本丢失后数据安全问题,同时也支持对U盘的加密和保护,优盘是病毒传播的重要途径之一,BitLocker可以对U盘进行加密处理,防止别人对你的优盘进行数据写入。这就阻隔的病毒侵入的风险。

Windows7系统的安全性防护是用户们有目共睹的,正因为有上述介绍的这些强大的安全功能做后盾,windows7系统的用户才可以这么放松,这么没烦恼地畅游网络,放心使用系统。

linux服务器安全审计怎么弄

材料:

Linux审计系统auditd 套件

步骤:

安装 auditd

REL/centos默认已经安装了此套件,如果你使用ubuntu server,则要手工安装它:

sudo apt-get install auditd

它包括以下内容:

auditctl : 即时控制审计守护进程的行为的工具,比如如添加规则等等。

/etc/audit/audit.rules : 记录审计规则的文塌亩件。

aureport : 查看和生成审计报告的工具。

ausearch : 查找审计事件的工具

auditspd : 转发事件通知给其他应用程序,而不是写入到审计日志文件中。

autrace : 一个用于跟踪进程的命令。

/etc/audit/auditd.conf : auditd工具的配置文件。

Audit 文件和目录访问审计

首次安装 auditd 后, 审计规则是空的。可以用 sudo auditctl -l 查看规则。文件审计用于保护敏感的文件,如保存系统用户名密码的passwd文件,文件访问审计方法:

sudo auditctl -w /etc/passwd -p rwxa

-w path : 指定要监控的路径,上面的命令指定了监控的文件路径 /etc/passwd

-p : 指定触发审计的文件/目录的访问权限

rwxa : 指定的触发条件,r 读取权限,w 写入权限,x 执液扒行权限,a 属性(attr)

目录进行审计和文件审计相似,闹衫昌方法如下:

$ sudo auditctl -w /production/

以上命令对/production目录进行保护。

3. 查看审计日志

添加规则后,我们可以查看 auditd 的日志。使用 ausearch 工具可以查看auditd日志。

sudo ausearch -f /etc/passwd

-f 设定ausearch 调出 /etc/passwd文件的审计内容

4. 查看审计报告

以上命令返回log如下:

time-Mon Dec 22 09:39:16 2016

type=PATH msg=audit(1419215956.471:194): item=0 name="/etc/passwd"

inode=142512 dev=08:01 mode=0100644 ouid=0 ogid=0 rdev=00:00 nametype=NORMAL

type=CWD msg=audit(1419215956.471:194): cwd="/home/somebody"

type=SYSCALL msg=audit(1419215956.471:194): arch=40000003 syscall=5 

success=yes exit=3 a0=b779694b a1=80000 a2=1b6 a3=b8776aa8 items=1 ppid=2090 pid=2231 auid=4294967295 uid=1000 gid=1000 euid=0 suid=0 fsuid=0 egid=1000 sgid=1000 fsgid=1000 tty=pts0 ses=4294967295

comm="sudo" exe="/usr/bin/sudo" key=(null)

time : 审计时间。

name : 审计对象

cwd : 当前路径

syscall : 相关的系统调用

auid : 审计用户ID

uid 和 gid : 访问文件的用户ID和用户组ID

comm : 用户访问文件的命令

exe : 上面命令的可执行文件路径

以上审计日志显示文件未被改动。

mysql开启安全审计功能。

mysql服务器自身没有提供审计功能,但是我们可以使用init-connect + binlog的方法进行mysql的操作审计。由于mysql binlog记录了所有对数据库长生实际修改的sql语句,及其执行时间,和connection_id但是却没有记录connection_id对应的详细用户信息。在后期审计进行行为追踪时,根据binlog记录的行为及对应的connection-id 结合 之前连接日志记录 进行分则知析,得出最后的结论。

1. 设置init-connect

1.1 创建用于存放连接日志的数据库和表

create database accesslog;

CREATE TABLE accesslog.accesslog (`id` int(11) primary key auto_increment, `time` timestamp, `localname` varchar(30), `matchname` varchar(30))

1.2 创建用户权限

可用现成的root用户用于信息的读取

grant select on accesslog.* to root;

如果存在具有to *.* 权限的用户需要进行限制。

这里还需要注意用户必须对accesslog表具有insert权限

grant select on accesslog.* to user@’%’;

1.3 设置init-connect

在[mysqld]下添加以下设置:

init-connect=’insertinto accesslog.accesslog(id, time, localname, matchname)

values(connection_id(),now(),user(),current_user());’

------注意user()和current_user()的区别

log-bin=xxx

这里必须开启binlog

1.4 重启数据库生效

shell /etc/init.d/mysql restart

2. 记录追踪

2.1 thread_id确认

可以梁盯基用以下语句定位语句执行人

Tencent:~ # mysqlbinlog --start-datetime='2011-01-26 16:00:00'

--stop-datetime='2011-01-26 17:00:00' /var/lib/mysql/mysql-bin.000010

| grep -B 5 'wsj'

COMMIT/*!*/;

# at 767

#110126 16:16:43 server id 1 end_log_pos 872 Query thread_id=19 exec_time=0 error_code=0

use test/*!*/;

SET TIMESTAMP=1296029803/*!*/;

create table wsj(id int unsigned not null)

--

BEGIN

/橡谨*!*/;

# at 940

#110126 16:16:57 server id 1 end_log_pos 1033 Query thread_id=19 exec_time=0 error_code=0

SET TIMESTAMP=1296029817/*!*/;

insert into wsj(id) values (1)

--

BEGIN

/*!*/;

# at 1128

#110126 16:16:58 server id 1 end_log_pos 1221 Query thread_id=19 exec_time=0 error_code=0

SET TIMESTAMP=1296029818/*!*/;

insert into wsj(id) values (2)

2.2 用户确认

thread_id 确认以后,找到元凶就只是一条sql语句的问题了。

mysql select * from accesslog where id=19;

+----+---------------------+---------------------+-----------+

| id | time | localname | matchname |

+----+---------------------+---------------------+-----------+

| 19 | 2011-01-26 16:15:54 | test@10.163.164.216 | test@% |

+----+---------------------+---------------------+-----------+

1 row in set (0.00 sec)


分享名称:服务器设置安全审计用户 服务器安全审计功能 怎么配置
转载来源:http://jkwzsj.com/article/ddpsojh.html

其他资讯