日志审计交流
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Solaris系统日志审计条件
开启方式
查看文件:more /etc/default/login 中 的SYSLOG=YES /var/adm/wtmpx或者 wtmp,wtmps文件中记录着所有登录过主 机的用户,时间,来源等内容,该文件不 具可读性,可用last命令来看:# last
启用cron记录功 能
作日志配置
awk '{print $NF}'|sed -e 's/[()]//g’`]”#增加history中事件和IP地址的记录
开启方式
修改配置文件vi /etc/syslog.conf, 配置如下类似语句: *.err;kern.debug;daemon.notice;/var/a dm/messages定义为需要保存的设备相关 安全事件。
日志权限
awk < /etc/syslog.conf '
启用远程日志功能
修改配置文件vi /etc/syslog.conf,加上 这一行: *.*@192.168.0.1。*可以替换成 kern.* / mail.* 等等。
应用访问 应用系统(包括前端系统和后台管理系统)无任何日志审计功能,无
法对用户的重要行为进行审计,也无法对事件进行溯源,可判
定为高风险。
系统日志审计的基本条件
Windows系统日志审计条件
开启方式
开始->运行-> 执行“ 控制面板->管理工 具->本地安全策略->审核策略”;审核登 录事件,双击,设置为成功和失败都审核。
自外联互联网,可判定为高风险。(3级)如机房、网络等环境可控,非授权外联可能较小,相关设备上的 USB 接口、无线网卡等有管控措施,
对网络异常进行监控及日志审查,可酌情降低风险等级。
边界准入 在网络边界、重要网络节点无任何安全审计措施,无法对重要的用 户行为和重要安全事件进行日志审计,可判定为高风险。
chmod 600 /var/adm/authlog
chmod 640 /var/adm/syslog
/var/spool/cron/crontabs 存放cron任务的目录
/var/spool/cron/cron.allow 允许使用crontab命令的用户
/var/spool/cron/cron.deny 不允许使用crontab命令的用户
审核策略
对审核策略进行检查:开始-运行gpedit.msc计算机配置-Windows设置-安 全设置-本地策略-审核策略以下审核是必 须开启的,审核系统登陆事件,审核帐户 管理,审核登陆事件,审核对象访问,审 核策略更改,审核特权使用,审核系统事 件。
日志容量
开始-运行-eventvwr右键选择日志,属性, 根据实际需求设置;日志文件大小:可根 据需要制定。超过上限时的处理方式(建 议日志记录天数不小于90天)。
AIX系统日志审计条件
开ห้องสมุดไป่ตู้方式
修改配置文件vi /etc/syslog.conf,加上
这几行:auth.info\t\t/var/adm/authlog
*.info;auth.none\t\t/var/adm/syslog\n"
启用cron记录功 能
cron/At的相关文件主要有以下几个:
日志权限
配置日志文件权限,如下命令:
启用cron记录功
vi /etc能/syslog.conf # Log cron stuff cron.* cron.*
启用远程日志功能
修改配置文件vi /etc/syslog.conf,加上
这一行: *.*@192.168.0.1,
kern.* ; mail.* 等等。可以将此处
192.168.0.1替换为实际的IP或域名。
对所有的cron行为进行审 计: 在 /etc/default/cron里设置 "CRONLOG=yes" 来记录corn的动 作。
日志权限
使用ls -l /var/adm查看的目录下日志文件 的权限,messages、utmpx、wmtpx的 权限应为644。
系统日志审计的基本条件
OS-Hp-ux系统日志审计条件
Linux系统日志审计条件
开启方式
cat /etc/syslog.conf 查看是否有 #authpriv.*/var/log/secure
日志权限
查看如下等日志的访问权限:#ls –l查看下 列日志文件权限: /var/log/messages、/var/log/secure、 /var/log/maillog、 /var/log/cron、 /var/log/spooler、 /var/log/boot.log
#at -l 查看当前的at任务
系统级命令日志审计
步骤
配置内容
1、使用root权限修改
#history log config#
/etc/profile文件,增加history操 export HISTTIMEFORMAT=”[%Y-%m-%d%H:%M:%S][`whoami2>/dev/null|\
管理中心
等保2.0高风险项判定汇总
《网络安全法》要求“采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月”;因此,如相
关设备日志留存不满足法律法规相关要求,可判定为高风险。(3级)
网络审计
核心重要服务器设备、重要核心管理终端,如无法对非授权联到外部网络的行为进行检查或限制,或内部人员可旁路、绕过边界访问控制设备私
日志审计交流
01 日志审计准备 02 日志分析 03 分析、审计示例
CONTENTS
日志留存相关要求
网络安全法要求
审计技术要求
(三)采取监测、记录网络运行状态、网络安全事件的技术措
施,并按照规定留存相关的网络日志不少于六个月;
要求内容:设备应配置日志功能,对用户登录进行记录,记录内容包括用户 登录使用的账号,登录是否成功,登录时间,以及远程登录时,用户使用的 IP地址。
/var/spool/cron/atjobs 存放at任务的目录
/var/spool/cron/at.allow 允许使用at的用户
/var/spool/cron/at.deny 不允许使用at的用户
使用crontab和at命令可以分别对cron和at任务进行控制。
#crontab -l 查看当前的cron任务