Linux服務器
控制點
3.
安全審計
對服務器進行安全審計的目的是保持對操作系統和數據庫系統的運行情況及用戶行為的跟蹤,以便事后進行追蹤和分析。
a)
安全要求:應啟用安全審計功能,審計覆蓋到每個用戶,對重要的用戶行為和重要安全事件進行審計。
要求解讀:Redhat Enterprise Linux操作系統 3 update 2以后的版本都使用LASU(Linux操作系統 Aduit Subsystem)進行審計。日志系統可以記錄系統中的各種信息,例如安全信息、調試信息、運行信息。審計子系統專門用於記錄安全信息,以便對系統安全事件進行追溯。如果審計子系統沒有運行,Linux操作系統內核就將安全審計信息傳遞給日志系統。
Linux操作系統的auditd進程主要用來記錄安全信息及對系統安全事件進行追溯,rsyslog進程用於記錄系統中的各種信息(例如硬件報警信息和軟件日志。)
Linux操作系統在安全審計配置文件/etc/audit/audit.rules中配置安全事件審計規則。
檢查方法
1.以root身份登錄Linux操作系統,查看服務進程。
2.若開啟了安全審計服務,則核查安全審計的守護進程是否正常。
# ps -ef |grep auditd
3.若未開啟系統安全審計功能,則核查是否部署了第三方安全審計工具。
4.以root身份登錄Linux操作系統查看安全事件配置:
#grep “@priv-ops” /etc/audit/filter.conf
...
more/etc/audit/audit.rules
...
期望結果
1.開啟了審計進程,如下所示。
2.Linux 服務器默認開啟守護進程。
3.audit.rules 文件記錄了文件和底層調用信息,記錄的安全事件較為全面。
b)
安全要求:審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息。
要求解讀:詳細的審計記錄是實現有效審計的保證。審計記錄應包括事件的日期、時間、類型、主體標識、客體標識和結果等。審計記錄中的詳細信息能夠幫助管理員或其他相關檢查人員准確地分析和定位事件。Linux用戶空間審計系統由auditd、ausearch、aureport等應用程序組成。其中ausearch是用於查找審計事件的工具,可以用來查看系統日志。
檢查方法
以具有相應權限的身份登錄Linux操作系統,執行“ausearch -ts today”命令。其中,-ts表示查看指定時間后的日志。也可以執行“tail -20 /var/log/audit/audit.1og”命令來查看審計日志。
期望結果
審計記錄包括事件的日期、時間、類型、主體標識、客體標識和結果。
c)
安全要求:應對審計記錄進行保護,定期備份,避免受到未預期的刪除、修改或覆蓋等。
要求解讀:非法用戶進入系統后的第一件事情就是清理系統日志和審計日志,而發現入侵行為最簡單、最直接的方法就是查看系統日志和安全審計文件。因此,必須對審計記錄進行安全保護,避免其受到未預期的刪除、修改或覆蓋等。
檢查方法
1.訪談系統管理員,了解審計記錄的存儲、備份和保護措施。
2.核查是否定時將操作系統日志發送到日志服務器等,以及使用syslog或SNMP方式將操作系統日志發送到日志服務器。如果部署了日志服務器,則登錄日志服務器,核查被測操作系統的日志是否在收集范圍內。
期望結果
操作系統日志已定期備份。已定期將本地存儲日志轉發至日志服務器。
d)
安全要求:應對審計進程進行保護,防止未經授權的中斷。
要求解讀:保護審計進程,確保當事件發生時能夠及時記錄事件的詳細信息。在Linux操作系統中,auditd是審計守護進程,syslogd是日志守護進程。
檢查方法
1.訪談系統管理員,了解對審計進程采取的監控和保護措施。
2.以非安全審計員身份中斷審計進程,驗證審計進程的訪問權限否設置是否合理。
3.核查是否通過第三方系統對被測操作系統的審計進程進行了監控和保護。
期望結果
1.審計進程不能被非審計人員權限的用戶修改。
2.部署了第三方審計工具,可以實時記錄審計日志,管理員不可以對日志進行刪除操作。