日志审计策略配置audit

日志审计策略配置

1.   系统缺省已经开启syslog/rsyslog服务,禁止关闭。系统syslog/rsyslog服务会将所有系统日志自动记录到/var/log/messages文件中,系统日志永久保留。

2.   开启audit审计功能,可以监控指定用户或目录,缺省会监控root的所有登录和操作。

l  添加规则到 /etc/audit/audit.rules(RHEL7为/etc/audit/rules.d/audit.rules) 文件中,实现监控所有用户的登录行为,包含用户所有操作,以及shell脚本中的命令

-a exit,always -F arch=b64 -S execve -kexec

-a exit,always -F arch=b32 -S execve -kexec

添加后使用ausearch -k exec来列出用户操作的记录。

l  添加规则到 /etc/audit/audit.rules(RHEL7为/etc/audit/rules.d/audit.rules) 文件中,实现对重点配置文件的监控(根据实际应用额外添加文件列表)

-w /etc/crontab -p wa -k crontab

-w /etc/hosts -p wa -k hosts

-w /etc/hosts.allow -p wa -k hosts-allow

-w /etc/hosts.deny -p wa -k hosts-deny

-w /etc/fstab -p wa -k fstab

-w /etc/passwd -p wa -k passwd

-w /etc/shadow -p wa -k shadow

-w /etc/group -p wa -k group

-w /etc/gshadow -p wa -k gshadow

-w /etc/ntp.conf -p wa -k ntp   (RHEL7为-w /etc/chrony.conf-p wa -k ntp)

-w /etc/sysctl.conf -p wa -k sysctl

-w /etc/security/limits.conf -p wa -klimits

-w /boot/grub/grub.conf -p wa -k grub (RHEL7为-w/boot/grub2/grub.cfg -p wa -k grub)

-w /etc/ssh/sshd_config -p wa -k ssh

-w /etc/udev/rules.d/ -p wa -k udev

-w /etc/profile -p wa -k profile

-w /etc/kdump.conf -p wa -k kdump

-w /etc/lvm/lvm.conf -p wa -k lvm

-w /etc/login.defs -p wa -k login-defs

-w /etc/rsyslog.conf -p wa -k rsyslog  (RHEL5为-w/etc/syslog.conf -p wa -k rsyslog)

-w /etc/sysconfig/i18n -p wa -k i18n   (RHEL7为-w /etc/locale.conf-p wa -k i18n)

-w /etc/sysconfig/network -p wa -k network

-w /etc/multipath.conf -p wa -k multipath

添加后使用ausearch -k <key>来列出对应文件的修改记录,如ausearch -k multipath。

1.   配置audit日志,audit日志文件自动保存在/var/log/audit/目录中。

l  每个log文件超过50M时进行轮换,保持最后4个log,可以通过/etc/audit/auditd.conf进行配置,修改如下选项:

num_logs = 4       #个数

max_log_file = 50   # 大小(MB)

默认情况下,审计日志为每20条flush一次,为了防止由于大量后台脚本运行产生的审计日志在频繁flush到磁盘,导致磁盘使用率过高(特别是没有cache直接落盘的RAID卡),所以需要修改flush模式为NONE。可以通过编辑audit配置文件/etc/audit/auditd.conf进行配置,修改如下选项:

flush = NONE

2.Linux服务器的audit日志需要上传到系统,建议分行参照执行。为将audit日志上传到日志服务器上,须在/etc/audisp/plugins.d/syslog.conf配置文件中打开转发,修改如下选项:

active= yes

args= LOG_LOCAL2

RHEL5版本的操作系统,在/etc/syslog.conf文件中作如下配置:

修改如下内容:

*.info;mail.none;authpriv.none;cron.none;local2.none      /var/log/messages

添加如下内容:

auth,authpriv,cron.info    @10.0.0.0:514

RHEL6版本的操作系统,在/etc/rsyslog.conf文件中作如下配置:

修改如下内容:

*.info;mail.none;authpriv.none;cron.none;local2.none      /var/log/messages

添加如下内容:

$SystemLogRateLimitInterval 0

$SystemLogRateLimitBurst 0

$IMUXSockRateLimitBurst 0

$IMUXSockRateLimitInterval 0

$IMUXSockRateLimitSeverity 7

auth,authpriv,cron.info    @10.0.0.0:514

时间: 2024-08-05 07:08:29

日志审计策略配置audit的相关文章

centos6 配置sudo命令日志审计

配置sudo命令日志审计 说明:所谓sudo命令日志审计,并不记录普通用户的普通操作,而是记录那些执行sudo命令的用户的操作. 项目实战: 服务器日志审计项目提出与实施 权限方案实施后,权限得到了细化控制,接下来进一步实施以地所有用户日志记录方案. 通过sudo和syslog(rsyslog)配合实现对所有用户进行日志审计并将记录集中管理(发送到中心日志服务器). 实施后,让所有运维和开发的所有执行的sudo管理命令都记录可查,杜绝了内部人员的操作安全隐患 生产环境日志审记解决之案: 法1:通

(转)企业配置sudo命令用户行为日志审计

原文:https://www.cnblogs.com/Csir/p/6403830.html?utm_source=itdadao&utm_medium=referral 第15章 企业配置sudo命令用户行为日志审计 15.1 生产环境企业日志审计解决方案: 所谓日志审计,就是记录所有系统及相关用户行为的信息,并且可以自动分析.处理.展示(包括文本或录像) 下面是各种解决方案 l 通过环境变量命令及rsyslog服务进行所有用户的所有操作的全部日志审计(信息太大,不推荐) l sudo配合rs

让EFCore更疯狂些的扩展类库(二):查询缓存、分部sql、表名替换的策略配置

前言 上一篇介绍了扩展类库的功能简介,通过json文件配置sql语句 和 sql语句的直接执行,这篇开始说明sql配置的策略模块:策略管理器与各种策略的配置. 类库源码:github:https://github.com/skigs/EFCoreExtend 引用类库:nuget:https://www.nuget.org/packages/EFCoreExtend/ PM> Install-Package EFCoreExtend 策略管理器功能简介 用于管理策略 与 策略执行器和调用(目前分

生产环境日志审计解决方案

思路:sudo 配合syslog 服务,进行日志审计 具体方法: 安装sudo命令,rsyslog服务(centos6.4) 注意:默认情况下,centos5.8系统中已安装上sudo和syslog服务 检查是否安装好,具体操作如下: [[email protected] ~]# rpm -qa |egrep "sudo|rsyslog" rsyslog-5.8.10-8.el6.i686 sudo-1.8.6p3-15.el6.i686 如果没有安装,则有yum进行安装: [[ema

Rsyslog日志服务安装配置

rsyslog服务端配置  centos6.4 x64系统  系统自带rsyslog 5.8版本 rsyslog 是一个 syslogd 的多线程增强版. 现在Fedora和Ubuntu, rhel6默认的日志系统都是rsyslog了 rsyslog负责写入日志, logrotate负责备份和删除旧日志, 以及更新日志文件 ################################### #首先部署好lamp环境,详情见lamp安装文档 #更新系统时间   rsyslog-mysql是rs

linux日志审计项目案例实战(生产环境日志审计项目解决方案)

所谓日志审计,就是记录所有系统及相关用户行为的信息,并且可以自动分析.处理.展示(包括文本或者录像) 推荐方法:sudo配合syslog服务,进行日志审计(信息较少,效果不错) 1.安装sudo命令.syslog服务(centos6.4或以上为rsyslog服务) [[email protected]_back ~]#rpm -qa "sudo|syslog"   查询系统是否已安装sudo.syslog程序 rsyslog-5.8.10-8.el6.x86_64 sudo-1.8.6

linux日志审计2

http://www.cnblogs.com/ahuo/archive/2012/08/24/2653905.html http://people.redhat.com/sgrubb/audit/ (1)audit sudo apt-get install auditd syslog会记录系统状态(硬件警告.软件的log), 但syslog属于应用层, log归咎与软件, 并不会记录所有动作. 于是audit来记录更多信息. (2) inotify. inotify 是文件系统事件监控机制,是细

Web安全开发指南--异常错误处理与日志审计

1.异常错误处理与日志审计 5.1.日志审计系统安全规则 1 日志系统能够记录特定事件的执行结果(比如 成功或失败). 确保日志系统包含如下重要日志信息: 1.  日志发生的时间: 2.  事件的严重等级: 3.  能够标识该事件为安全事件的标签: 4.  导致事件产生的对象: 5.  导致事件产生的IP地址: 6.  事件的结果(成功或失败): 7.  关于事件的描述. 2 如果使用浏览器查看日志,确保先对日志数据进行净化.(item1.2请参考附录11.8) 3 不要在日志中存储任何敏感数据

Linux 6.8 sudo 日志审计

公司内Linux服务器启用了SUDO权限管理,但还是有一定的风险,所以为了便于管理和后续维护,开启sudo日志审计的功能,对用户执行的sudo命令的操作行为进行记录,但又不记录其他的命令. 一.rsyslog 全部操作日志审计,信息量大,不方便以后查阅,我们选择只对sudo进行日志审计. 二.使用rpm -qa 查询是否安装服务,若没有就使用yum install XXXX -y 安装服务 [[email protected] ~]# rpm -qa |grep sudo sudo-1.8.6p