概述
目录
413课堂练习《第一章》跟踪安全更新
413课堂练习《第二章》管理软件更新
413课堂练习《第三章》创建文件系统
413课堂练习《第四章》管理文件系统
413课堂练习《第五章》特殊权限管理
413课堂练习《第六章》管理附加文件权限
413课堂练习《第七章》监视文件系统变更
413课堂练习《第八章》管理用户账户
413课堂练习《第九章》管理PAM
413课堂练习《第十章》加强控制台安全
413课堂练习《第十一章》安装CA中心
413课堂练习《第十二章》管理CA中心
413课堂练习《第十三章》配置系统日志
413课堂练习《第十四章》配置系统审计
413课堂练习《第十五章》控制网络服务访问
课堂实验
1. 确认auditd服务已运行
[root@serverX ~]# service auditd status
2. 确认auditd服务可在3和5状态下自动运行
[root@serverX ~]# chkconfig --list auditd
3. 实时查看auditd服务的运行日志
[root@serverX ~]# tail -f /var/log/audit/audit.log
4. 在serverX上以student身份使用sudo命令(未配置,失败)
[student@serverX ~]$ sudo ls
5. 观察auditd日志的变化
{USER_AUTH, USER_ACCT, USER_CMD}
课堂实验
1. 生成所有强制访问控制事件报告(需要登录几次图形控制台生成数据),注意Audit Event ID
[root@serverX ~]# aureport --mac | grep '^1.' | cut -d' ' -f7
2. 以非直接打开日志文件的方式显示上一步获取的条目,将UID转换成可读信息
[root@serverX ~]# ausearch -i -a { EVENTID}
3. 生成命令执行的汇总报告(只有安全敏感型命令会被记录)
[root@serverX ~]# aureport --executable --summary
4. 搜索所有关于LOGIN类型的审计事件
[root@serverX ~]# ausearch -m LOGIN --raw
5. 使用审计系统跟踪/bin/ls /tmp的执行,并生成关于此命令打开的所有文件的报告
[root@serverX ~]# autrace /bin/ls /tmp
[root@serverX ~]# ausearch -p { PROCESSID} --start recent --raw | aureport -i --file
6. 重复上述跟踪,将跟踪内容更改为/bin/ls -l /tmp,观察结果的不同
{lstat system call}
课堂实验
1. 增加审计规则,获得每一次对/etc中文件的单独写或属性变化,对每个审计结果以config-change进行标注,不要将此规则作为永久规则
[root@serverX ~]# auditctl -w /etc/ -p wa -k config-change
2. 创建一个名为/etc/sysconfig/applejack的空文件,使用 config-change标识检查全天审计日志
[root@serverX ~]# touch /etc/sysconfig/applejack
[root@serverX ~]# ausearch --start today -k config-change
3. 创建审计规则,记录以Audit UID大于等于500和Effective UID等于0的用户对/bin/下任意文件的执行,添加privileged-execution标识, 不要将此规则作为永久规则
[root@serverX ~]# auditctl -w /bin/ -p x -F "auid>=500" -F "euid=0" -k privileged-execution
4. 以student身份登录serverX,并用su提升权限至root,执行/bin/true,并用privileged-execution标识查找本周的审计信息
[root@serverX ~]# /bin/true
[root@serverX ~]# ausearch --start this-week -i -k privileged-execution
5. 添加一个永久审计规则,记录以Audit UID大于等于500的全部用户的系统call(unlink,unlinkat,rename,renameat),确保规则涵盖32与64位架构,添加delete标识,排除auid 4294967295
[root@serverX ~]# /etc/audit/audit.rules
-a exit,always -F arch=b32 -S unlink -S unlinkat -S rename -S renameat -F auid>=588 -F auid!=4294967295 -k delete
-a exit,always -F arch=b64 -S unlink -S unlinkat -S rename -S renameat -F auid>=588 -F auid!=4294967295 -k delete
[root@serverX ~]# service auditd restart
6. 以student身份登录serverX,创建并立即删除空文件/tmp/shiny,以root身份搜索标识为delete和路径名为/tmp/shiny的本年记录
[student@serverX ~]$ touch /tmp/shiny; rm /tmp/shiny
[root@serverX ~]# ausearch --start this-year -i -k delete -f /tmp/shiny
课堂实验
1. 下载指定规则配置
[root@serverX ~]# wget ftp://instructor.example.com/pub/materials/mule.rules
2. 用下载的文件替换默认规则
[root@serverX ~]# cat mule.rules > /etc/audit/audit.rules
3. 定位到规则中privileged命令部分,并增加若干行规则(一个命令一行)
[root@serverX ~]# find /bin -type f -perm -04000 2>/dev/null
将用上述方法找出的命令替代规则文件中的/bin/ping部分
4. 定位名为All system administration actions的规则,增加pam_tty_audit到session部分(/etc/pam.d/system-auth,/etc/pam.d/password-auth),只开放对root的键盘监听
[root@serverX ~]# vim /etc/pam.d/system-auth
[root@serverX ~]# vim /etc/pam.d/password-auth
session required pam_tty_audit.so enable=root
5. 重启审计服务
[root@serverX ~]# service auditd restart
6. 以student身份ping本地网络,以root身份观察审计结果
[student@serverX ~]$ ping -c1 localhost
[root@serverX ~]# aureport --executable --summary | grep ping
7. 查找关于time-change的所有事件,并找出哪个程序负责修改系统时间(可能需要重启ntp服务)
[root@serverX ~]# ausearch -k time-change --raw | aureport --executable --summary
8. 开启新窗口,提升权限至root,执行一些命令后生成关于TTY的报告
[root@serverX ~]# aureport --tty
9. 查看审计规则最后一行和当前的审计进程状态,回答enabled=2或-e 2的作用(enabled=2将审计进程设为有效并使当前规则锁定,重启后才能使修改后的规则生效)
[root@serverX ~]# tail -n2 /etc/audit/audit.rules
[root@serverX ~]# auditctl - s
案例(部署自定义审计策略)
1. 符合键盘监听需求,日志在/etc/pam.d/system-auth和/etc/pam.d/password-auth中增加如下内容(root通过SSH的访问或者直接访问也包括普通用户的提权)
[root@serverX ~]# vim /etc/pam.d/system-auth
[root@serverX ~]# vim /etc/pam.d/password-auth
session required pam_tty_audit.so enable=root
2. 符合etc-change需求,在审计规则中加入如下内容(/etc/下所有的写操作与文件权限变更 )
[root@serverX ~]# vim /etc/audit/audit.rules
-w /etc/ -p wa -k etc-change
3. 符合audit-access需求,在审计规则中加入如下内容(/var/log/audit/下被访问的文件)
[root@serverX ~]# vim /etc/audit/audit.rules
-w /var/log/audit/ -k audit-access
4. 符合device-creation需求,在审计规则中加入如下内容(32位和64位的mknod与mknodat系统调用)
[root@serverX ~]# vim /etc/audit/audit.rules
-a exit,always -F arch=b32 -S mknod -S mknodat -k device-creation
-a exit,always -F arch=b64 -S mknod -S mknodat -k device-creation
5. 符合bofh-access需求,在审计规则中加入如下内容(/home/下被root访问但不属于root的文件)
[root@serverX ~]# vim /etc/audit/audit.rules
-a exit,always -F dir=/home/ -F uid=0 -C auid!=obj_uid -k bofh-access
6. 在测试规则后,固化规则
[root@serverX ~]# vim /etc/audit/audit.rules
-e 2
[root@serverX ~]# service auditd restart
413课堂练习《第一章》跟踪安全更新
413课堂练习《第二章》管理软件更新
413课堂练习《第三章》创建文件系统
413课堂练习《第四章》管理文件系统
413课堂练习《第五章》特殊权限管理
413课堂练习《第六章》管理附加文件权限
413课堂练习《第七章》监视文件系统变更
413课堂练习《第八章》管理用户账户
413课堂练习《第九章》管理PAM
413课堂练习《第十章》加强控制台安全
413课堂练习《第十一章》安装CA中心
413课堂练习《第十二章》管理CA中心
413课堂练习《第十三章》配置系统日志
413课堂练习《第十四章》配置系统审计
413课堂练习《第十五章》控制网络服务访问
课堂实验
1. 确认auditd服务已运行
[root@serverX ~]# service auditd status
2. 确认auditd服务可在3和5状态下自动运行
[root@serverX ~]# chkconfig --list auditd
3. 实时查看auditd服务的运行日志
[root@serverX ~]# tail -f /var/log/audit/audit.log
4. 在serverX上以student身份使用sudo命令(未配置,失败)
[student@serverX ~]$ sudo ls
5. 观察auditd日志的变化
{USER_AUTH, USER_ACCT, USER_CMD}
课堂实验
1. 生成所有强制访问控制事件报告(需要登录几次图形控制台生成数据),注意Audit Event ID
[root@serverX ~]# aureport --mac | grep '^1.' | cut -d' ' -f7
2. 以非直接打开日志文件的方式显示上一步获取的条目,将UID转换成可读信息
[root@serverX ~]# ausearch -i -a { EVENTID}
3. 生成命令执行的汇总报告(只有安全敏感型命令会被记录)
[root@serverX ~]# aureport --executable --summary
4. 搜索所有关于LOGIN类型的审计事件
[root@serverX ~]# ausearch -m LOGIN --raw
5. 使用审计系统跟踪/bin/ls /tmp的执行,并生成关于此命令打开的所有文件的报告
[root@serverX ~]# autrace /bin/ls /tmp
[root@serverX ~]# ausearch -p { PROCESSID} --start recent --raw | aureport -i --file
6. 重复上述跟踪,将跟踪内容更改为/bin/ls -l /tmp,观察结果的不同
{lstat system call}
课堂实验
1. 增加审计规则,获得每一次对/etc中文件的单独写或属性变化,对每个审计结果以config-change进行标注,不要将此规则作为永久规则
[root@serverX ~]# auditctl -w /etc/ -p wa -k config-change
2. 创建一个名为/etc/sysconfig/applejack的空文件,使用 config-change标识检查全天审计日志
[root@serverX ~]# touch /etc/sysconfig/applejack
[root@serverX ~]# ausearch --start today -k config-change
3. 创建审计规则,记录以Audit UID大于等于500和Effective UID等于0的用户对/bin/下任意文件的执行,添加privileged-execution标识, 不要将此规则作为永久规则
[root@serverX ~]# auditctl -w /bin/ -p x -F "auid>=500" -F "euid=0" -k privileged-execution
4. 以student身份登录serverX,并用su提升权限至root,执行/bin/true,并用privileged-execution标识查找本周的审计信息
[root@serverX ~]# /bin/true
[root@serverX ~]# ausearch --start this-week -i -k privileged-execution
5. 添加一个永久审计规则,记录以Audit UID大于等于500的全部用户的系统call(unlink,unlinkat,rename,renameat),确保规则涵盖32与64位架构,添加delete标识,排除auid 4294967295
[root@serverX ~]# /etc/audit/audit.rules
-a exit,always -F arch=b32 -S unlink -S unlinkat -S rename -S renameat -F auid>=588 -F auid!=4294967295 -k delete
-a exit,always -F arch=b64 -S unlink -S unlinkat -S rename -S renameat -F auid>=588 -F auid!=4294967295 -k delete
[root@serverX ~]# service auditd restart
6. 以student身份登录serverX,创建并立即删除空文件/tmp/shiny,以root身份搜索标识为delete和路径名为/tmp/shiny的本年记录
[student@serverX ~]$ touch /tmp/shiny; rm /tmp/shiny
[root@serverX ~]# ausearch --start this-year -i -k delete -f /tmp/shiny
课堂实验
1. 下载指定规则配置
[root@serverX ~]# wget ftp://instructor.example.com/pub/materials/mule.rules
2. 用下载的文件替换默认规则
[root@serverX ~]# cat mule.rules > /etc/audit/audit.rules
3. 定位到规则中privileged命令部分,并增加若干行规则(一个命令一行)
[root@serverX ~]# find /bin -type f -perm -04000 2>/dev/null
将用上述方法找出的命令替代规则文件中的/bin/ping部分
4. 定位名为All system administration actions的规则,增加pam_tty_audit到session部分(/etc/pam.d/system-auth,/etc/pam.d/password-auth),只开放对root的键盘监听
[root@serverX ~]# vim /etc/pam.d/system-auth
[root@serverX ~]# vim /etc/pam.d/password-auth
session required pam_tty_audit.so enable=root
5. 重启审计服务
[root@serverX ~]# service auditd restart
6. 以student身份ping本地网络,以root身份观察审计结果
[student@serverX ~]$ ping -c1 localhost
[root@serverX ~]# aureport --executable --summary | grep ping
7. 查找关于time-change的所有事件,并找出哪个程序负责修改系统时间(可能需要重启ntp服务)
[root@serverX ~]# ausearch -k time-change --raw | aureport --executable --summary
8. 开启新窗口,提升权限至root,执行一些命令后生成关于TTY的报告
[root@serverX ~]# aureport --tty
9. 查看审计规则最后一行和当前的审计进程状态,回答enabled=2或-e 2的作用(enabled=2将审计进程设为有效并使当前规则锁定,重启后才能使修改后的规则生效)
[root@serverX ~]# tail -n2 /etc/audit/audit.rules
[root@serverX ~]# auditctl - s
案例(部署自定义审计策略)
1. 符合键盘监听需求,日志在/etc/pam.d/system-auth和/etc/pam.d/password-auth中增加如下内容(root通过SSH的访问或者直接访问也包括普通用户的提权)
[root@serverX ~]# vim /etc/pam.d/system-auth
[root@serverX ~]# vim /etc/pam.d/password-auth
session required pam_tty_audit.so enable=root
2. 符合etc-change需求,在审计规则中加入如下内容(/etc/下所有的写操作与文件权限变更 )
[root@serverX ~]# vim /etc/audit/audit.rules
-w /etc/ -p wa -k etc-change
3. 符合audit-access需求,在审计规则中加入如下内容(/var/log/audit/下被访问的文件)
[root@serverX ~]# vim /etc/audit/audit.rules
-w /var/log/audit/ -k audit-access
4. 符合device-creation需求,在审计规则中加入如下内容(32位和64位的mknod与mknodat系统调用)
[root@serverX ~]# vim /etc/audit/audit.rules
-a exit,always -F arch=b32 -S mknod -S mknodat -k device-creation
-a exit,always -F arch=b64 -S mknod -S mknodat -k device-creation
5. 符合bofh-access需求,在审计规则中加入如下内容(/home/下被root访问但不属于root的文件)
[root@serverX ~]# vim /etc/audit/audit.rules
-a exit,always -F dir=/home/ -F uid=0 -C auid!=obj_uid -k bofh-access
6. 在测试规则后,固化规则
[root@serverX ~]# vim /etc/audit/audit.rules
-e 2
[root@serverX ~]# service auditd restart
来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/24644775/viewspace-1255808/,如需转载,请注明出处,否则将追究法律责任。
转载于:http://blog.itpub.net/24644775/viewspace-1255808/
最后
以上就是开心宝马为你收集整理的413课堂练习《第十四章》配置系统审计的全部内容,希望文章能够帮你解决413课堂练习《第十四章》配置系统审计所遇到的程序开发问题。
如果觉得靠谱客网站的内容还不错,欢迎将靠谱客网站推荐给程序员好友。
本图文内容来源于网友提供,作为学习参考使用,或来自网络收集整理,版权属于原作者所有。
发表评论 取消回复