操作系统安全:Linux安全审计,Linux日志详解

这篇具有很好参考价值的文章主要介绍了操作系统安全:Linux安全审计,Linux日志详解。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

「作者简介」:2022年北京冬奥会网络安全中国代表队,CSDN Top100,就职奇安信多年,以实战工作为基础对安全知识体系进行总结与归纳,著作适用于快速入门的 《网络安全自学教程》,内容涵盖系统安全、信息收集等12个知识域的一百多个知识点,持续更新。

操作系统有4个安全目标,也就是说想要保证操作系统的安全,就必须实现这4个需求:

  1. 标识系统中的用户和进行身份鉴别。
  2. 依据系统安全策略对用户的操作进行访问控制,防止用户和外来入侵者对计算机资源的非法访问。
  3. 审计系统运行的安全性。
  4. 保证系统自身的安全性和完整性。

安全审计就是用来实现这些需求的安全机制之一。

这一章节需要直到Linux通过哪些日志来做安全审计,日志的格式以及日志内容是什么意思。

Linux使用日志文件记录系统事件,实现安全审计,日志由syslog进程记录。

Linux日志存放在 /var/log/

  • audit/audit.log:系统内核、用户进程的行为日志
  • boot.log:开机自检日志
  • btmp:登录失败日志
  • cron:计划任务日志
  • dmesg:内核自检日志
  • lastlog:最后一次登录日志
  • maillog:邮件收发日志
  • messages:内核和应用程序日志
  • secure:系统安全日志
  • wtmp:用户登录/退出、系统启停日志

日志很大,查看的时候太慢,可以使用grep、sed、awk命令查看日志。

audit.log

audit是Linux的审计日志,可以手动配置审计规则,需要启动 /sbin/auditd 进程。

  • ps -ef | grep auditd 查看进程状态。
  • systemctl status auditdservice auditd status 查看服务状态。

使用 auditctl 配置审计规则。

  • auditctl -l 查看审计规则。
  • auditctl -w /home/tom/ -k tom_audit 审计/home/tom/目录下的所有文件操作,标记为tom_audit关键字

使用 ausearch 查看审计日志。本质是搜索 /var/log/audit/audit.log.

  • ausearch -ui 0 根据用户uid搜索
  • ausearch -p 1779 根据进程pid搜索
  • ausearch -f /home/tom/text.txt 根据文件路径搜索

操作系统安全:Linux安全审计,Linux日志详解,《网络安全快速入门》,安全,linux,运维,网络安全,web安全

boot.log

记录系统在引导过程中发生的事件,也就是Linux系统开机自检过程显示的信息。

日志存放在 /var/log/boot.log

操作系统安全:Linux安全审计,Linux日志详解,《网络安全快速入门》,安全,linux,运维,网络安全,web安全

btmp

记录用户登录失败的信息,常用来排查爆破信息。

日志存放在/var/log/btmp ,是二进制文件,可以用lastb命令查看。

操作系统安全:Linux安全审计,Linux日志详解,《网络安全快速入门》,安全,linux,运维,网络安全,web安全
日志字段从左到右依次是:登录用户、登录方式、登录源IP、登录时间。

lastb | awk '{print $3}' |sort| uniq -c | sort -n 过滤IP登录次数

cron

cron是计划任务日志,需要启动 /usr/sbin/crond 进程

  • ps -ef | grep crond 查看进程状态
  • systemctl status crondservice crond status 查看服务状态

使用 crontab 配置计划任务。

  • crontab -l 查看计划任务
  • crontab -e 编辑计划任务,本质上是在 /var/spool/cron/root文件中写计划任务。
  • crontab -r 清空计划任务,如果只删除某条计划任务,用crontab -e手动删除。

计划任务日志存放在 /var/log/cron ,可以直接查看。

操作系统安全:Linux安全审计,Linux日志详解,《网络安全快速入门》,安全,linux,运维,网络安全,web安全

日志类型重点看两种:

  • CROND 表示执行了计划任务
  • crontab 表示配置了计划任务

Apr 20 20:09:01 bogon CROND[3388]: (root) CMD (echo date >> /root/text.txt)

  • (root):执行计划任务的用户是root
  • CMD (echo date >> /root/text.txt):计划任务执行的内容。操作系统安全:Linux安全审计,Linux日志详解,《网络安全快速入门》,安全,linux,运维,网络安全,web安全

Apr 20 20:09:29 bogon crontab[3391]: (root) LIST (root)

  • (root) LIST (root):root用户查看了计划任务,也就是root用户执行了crontab -l。其他crontab类型的日志含义也是类似的逻辑。

root用户修改了计划任务,REPLACE表示计划任务被替换了。

操作系统安全:Linux安全审计,Linux日志详解,《网络安全快速入门》,安全,linux,运维,网络安全,web安全

root用户编辑了计划任务,但没修改。

操作系统安全:Linux安全审计,Linux日志详解,《网络安全快速入门》,安全,linux,运维,网络安全,web安全

dmesg

记录Linux内核日志,包括引导信息、硬件检测、设备驱动程序和系统错误等,用来追踪系统启动过程中的事件,排查故障和问题。

dmesg 查看内核日志,本质上是查看 /var/log/dmesg 文件。

dmesg | grep error 过滤错误日志。

操作系统安全:Linux安全审计,Linux日志详解,《网络安全快速入门》,安全,linux,运维,网络安全,web安全

lastlog

记录所有用户的最后一次登录信息,本质上是读取 /var/log/lastlog

操作系统安全:Linux安全审计,Linux日志详解,《网络安全快速入门》,安全,linux,运维,网络安全,web安全
字段解析:

  1. Username:用户名
  2. Port:端口,或者叫登录方式,pts表示伪终端,比如用xshell远程连接;tty表示串口终端,比如本地登录或用显示器登录。
  3. From:登录使用的源IP
  4. Lastest:最近的登录时间。Never logged in 表示从未登录过。

lastlog -u root 查看指定用户的最后登录信息

maillog

记录邮件日志,比如收发邮件。日志保存在 /var/log/maillog

操作系统安全:Linux安全审计,Linux日志详解,《网络安全快速入门》,安全,linux,运维,网络安全,web安全

messages

记录系统操作和事件,用来监控和调试系统运行情况,日志保存在 /var/log/messages

操作系统安全:Linux安全审计,Linux日志详解,《网络安全快速入门》,安全,linux,运维,网络安全,web安全
字段从左到右依次是:时间、主机名、服务/进程名、进程PID、日志信息。

secure

记录系统安全日志,比如SSH登录、sudo使用等信息,日志保存在 /var/log/secure

操作系统安全:Linux安全审计,Linux日志详解,《网络安全快速入门》,安全,linux,运维,网络安全,web安全

字段从左到右依次是:时间、主机名、服务/进程名、进程PID、日志信息。

wtmp

记录用户登录/推出和系统开机日志。

使用 last 查看日志,本质上是读取 /var/log/wtmp

操作系统安全:Linux安全审计,Linux日志详解,《网络安全快速入门》,安全,linux,运维,网络安全,web安全

从左到右字段依次是:用户名、登录方式(pts远程,tty本地)、登录的源IP、登录/退出时间。文章来源地址https://www.toymoban.com/news/detail-859908.html

到了这里,关于操作系统安全:Linux安全审计,Linux日志详解的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • Linux操作系统安全加固指导

    适用版本 redhat5.x,6.x,7.x centos5.x,6.x,7.x suse9、10、11、12 加固要求 检查口令生存周 加固方法 在文件/etc/login.defs中设置 PASS_MAX_DAYS 不大于标准值,PASS_MAX_DAYS   90,如果该文件不存在,则创建并按照要求进行编辑。 检查方法 使用命令: cat /etc/login.defs |grep PASS_MAX_DAYS 结果中

    2023年04月21日
    浏览(50)
  • Linux操作系统详解

    Linux是一个开源的Unix-like操作系统。它是由芬兰计算机科学家Linus Torvalds于1991年首次发布。Linux以其稳定性,安全性和灵活性而受到欢迎,并被广泛用于服务器,超级计算机,嵌入式系统和许多其他平台。在某些领域,例如智能手机和平板电脑(主要是Android操作系统),Linu

    2024年02月12日
    浏览(38)
  • Linux——操作系统详解

    目录 一.操作系统的含义 1.操作系统是什么? 2.那么操作系统为什么要对软硬件资源进行管理呢?这样做的好处在哪里? 3.操作系统又是怎么进行管理的? 如何理解“先描述,再组织”? 二.总结: 示例1: 通过操作系统图映射银行管理 三.操作系统存在的意义 1.操作系统是什

    2024年02月06日
    浏览(36)
  • Linux操作系统的安全相关介绍

            Linux操作系统的安全模型、访问控制、安全策略和加密机制是确保系统安全的重要组成部分。下面将详细介绍这些方面。          安全模型         Linux操作系统的安全模型基于传统的Unix安全模型,主要包括以下核心概念: 1. **用户和组**:Linux系统中的每

    2024年04月16日
    浏览(40)
  • Linux操作系统——文件详解

    首先,当我们在磁盘创建一个空文件时,这个文件会不会占据磁盘空间呢? 答案是当然会占据磁盘空间了,因为文件是空的,仅仅指的是它的内容是空的,但是该文件要有对应的文件名,文件的大小,文件的创建时间,文件的权限等等,这些叫做文件的属性,是一个往往被人

    2024年01月16日
    浏览(44)
  • 【Linux&网络安全】Linux操作系统安全配置(超全超详细)

    查看账号 在我们Linux系统当中,默认的情况下,所有的系统上的帐号与一般身份使用者,还有root的相关信息, 都是记录在/etc/passwd这个文件内的。至于个人的密码则是记录在/etc/shadow这个文件下。 此外,Linux所有的群组名称都纪录在/etc/group内!这三个文件可以说是Linux系统里

    2024年02月01日
    浏览(42)
  • Linux操作基础(系统安全及应用)

    (1)将非登录用户的shell设置成/sbin/nologin (2)锁定长期不使用账号权限 (3)删除无用账号 (4)锁定账号文件psswd、shadow 通过md5sum 可以查看校验和来判断文件有没有被修改过 在新添加一个用户之后,他的校验和发生了变化。 1.21 设置密码有效期 针对新用户 在进入vim /et

    2023年04月19日
    浏览(43)
  • Linux操作系统详解(最详细)

    一. linux操作系统的基本介绍 ​ Linux是一套免费使用和自由传播的类unix操作系统。那么什么是类unix操作系统呢?在1969年由unix之父Ken Thompson在ATT(American Telephone Telegraph, 美国电话电报公司,现在为美国第二大运营商,第一大运营商为 Verizon Wireless)的贝尔实验室主导研发的,当时

    2024年02月10日
    浏览(40)
  • 网络安全之认识日志采集分析审计系统

    日志对于大家来说非常熟悉,机房中的各种系统、防火墙、交换机、路由器等等,都在不断地产生日志。无数实践告诉我们,健全的日志记录和分析系统是系统正常运营与优化以及安全事故响应的基础。我们一起来认识日志采集分析审计系统。 1、日志的概念 日志数据的核心

    2024年02月09日
    浏览(49)
  • 【Linux操作系统】【综合实验三 用户帐号、文件系统与系统安全管理】

    要求掌握Linux系统用户的创建、删除与管理操作;熟悉Linux文件系统的管理模式,学会创建用户文件系统并装载和卸载文件系统;掌握超级用户的管理方式与权限,并实施对普通用户的管理;熟悉Linux系统安全机制与相关管理方法。 通过这个第三阶段实验,要求掌握以下操作与

    2023年04月14日
    浏览(37)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包