Linux服务器
控制点
3.
安全审计
对服务器进行安全审计的目的是保持对操作系统和数据库系统的运行情况及用户行为的跟踪,以便事后进行追踪和分析。
a)
安全要求:应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计。
要求解读:Redhat Enterprise Linux操作系统 3 update 2以后的版本都使用LASU(Linux操作系统 Aduit Subsystem)进行审计。日志系统可以记录系统中的各种信息,例如安全信息、调试信息、运行信息。审计子系统专门用于记录安全信息,以便对系统安全事件进行追溯。如果审计子系统没有运行,Linux操作系统内核就将安全审计信息传递给日志系统。
Linux操作系统的auditd进程主要用来记录安全信息及对系统安全事件进行追溯,rsyslog进程用于记录系统中的各种信息(例如硬件报警信息和软件日志。)
Linux操作系统在安全审计配置文件/etc/audit/audit.rules中配置安全事件审计规则。
检查方法
1.以root身份登录Linux操作系统,查看服务进程。
2.若开启了安全审计服务,则核查安全审计的守护进程是否正常。
# ps -ef |grep auditd
3.若未开启系统安全审计功能,则核查是否部署了第三方安全审计工具。
4.以root身份登录Linux操作系统查看安全事件配置:
#grep “@priv-ops” /etc/audit/filter.conf
...
more/etc/audit/audit.rules
...
期望结果
1.开启了审计进程,如下所示。
2.Linux 服务器默认开启守护进程。
3.audit.rules 文件记录了文件和底层调用信息,记录的安全事件较为全面。
b)
安全要求:审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。
要求解读:详细的审计记录是实现有效审计的保证。审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等。审计记录中的详细信息能够帮助管理员或其他相关检查人员准确地分析和定位事件。Linux用户空间审计系统由auditd、ausearch、aureport等应用程序组成。其中ausearch是用于查找审计事件的工具,可以用来查看系统日志。
检查方法
以具有相应权限的身份登录Linux操作系统,执行“ausearch -ts today”命令。其中,-ts表示查看指定时间后的日志。也可以执行“tail -20 /var/log/audit/audit.1og”命令来查看审计日志。
期望结果
审计记录包括事件的日期、时间、类型、主体标识、客体标识和结果。
c)
安全要求:应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等。
要求解读:非法用户进入系统后的第一件事情就是清理系统日志和审计日志,而发现入侵行为最简单、最直接的方法就是查看系统日志和安全审计文件。因此,必须对审计记录进行安全保护,避免其受到未预期的删除、修改或覆盖等。
检查方法
1.访谈系统管理员,了解审计记录的存储、备份和保护措施。
2.核查是否定时将操作系统日志发送到日志服务器等,以及使用syslog或SNMP方式将操作系统日志发送到日志服务器。如果部署了日志服务器,则登录日志服务器,核查被测操作系统的日志是否在收集范围内。
期望结果
操作系统日志已定期备份。已定期将本地存储日志转发至日志服务器。
d)
安全要求:应对审计进程进行保护,防止未经授权的中断。
要求解读:保护审计进程,确保当事件发生时能够及时记录事件的详细信息。在Linux操作系统中,auditd是审计守护进程,syslogd是日志守护进程。
检查方法
1.访谈系统管理员,了解对审计进程采取的监控和保护措施。
2.以非安全审计员身份中断审计进程,验证审计进程的访问权限否设置是否合理。
3.核查是否通过第三方系统对被测操作系统的审计进程进行了监控和保护。
期望结果
1.审计进程不能被非审计人员权限的用户修改。
2.部署了第三方审计工具,可以实时记录审计日志,管理员不可以对日志进行删除操作。