M64使用安全審計(jì)加強(qiáng)Linux主機(jī)的安全維護(hù)能力要點(diǎn)

1、M6-4使用安全審計(jì)增強(qiáng)Linux主機(jī)的安全保護(hù)能力重點(diǎn)M6-4使用安全審計(jì)增強(qiáng)Linux主機(jī)的安全保護(hù)能力重點(diǎn)10/10M6-4使用安全審計(jì)增強(qiáng)Linux主機(jī)的安全保護(hù)能力重點(diǎn)M6-4使用安全審計(jì)增強(qiáng)Linux主機(jī)的安全保護(hù)能力1.1講課目標(biāo)與要求1.1.1講課目標(biāo)學(xué)生經(jīng)過(guò)該能力模塊的學(xué)習(xí),能夠獨(dú)立達(dá)成和嫻熟掌握實(shí)現(xiàn)主機(jī)安全審計(jì)的能力。1.1.2講課要求1.講課重點(diǎn)ac命令.sa命令2.講課難點(diǎn)psacct程序1.2本能力單元波及的知識(shí)組織1.2.1本能力單元波及的主要知識(shí)點(diǎn)1、SA命令2、AC命令1.2.2本能力單元需要解決的問(wèn)題1、依據(jù)項(xiàng)目的需求，重點(diǎn)掌握怎樣使用SA命令進(jìn)行審計(jì)。2、依

2、據(jù)項(xiàng)目的需求，重點(diǎn)掌握怎樣AC命令進(jìn)行審計(jì)。1.3核心技術(shù)和知識(shí)的理解1.3.1psacct程序安全配置審計(jì)工具是一款用戶對(duì)各種系統(tǒng)、設(shè)施做安全配置檢查的自動(dòng)化工具，能夠智能化鑒識(shí)各種安全設(shè)置，分析安全狀態(tài)，并能夠給出多種配置審計(jì)分析報(bào)告，當(dāng)前已經(jīng)支持多種操作系統(tǒng)及網(wǎng)絡(luò)設(shè)施。RedHatLinux系統(tǒng)中的psacct程序能夠依據(jù)安全需求進(jìn)行改正。其他，利用系統(tǒng)工具對(duì)各種賬號(hào)的操作權(quán)限做限制，能夠有效保證用戶沒(méi)法超越其賬號(hào)權(quán)限的操作，保證系統(tǒng)安全。RedHatLinux系統(tǒng)中的psacct程序供給了幾個(gè)進(jìn)度活動(dòng)監(jiān)監(jiān)工具：ac、lastcomm、accton和sa。ac命令顯示用戶連結(jié)時(shí)間的統(tǒng)計(jì).

3、lastcomm命令顯示系統(tǒng)履行的命令.accton命令用于翻開(kāi)或封閉進(jìn)度記帳功能.sa命令統(tǒng)計(jì)系統(tǒng)進(jìn)度記帳的狀況.1.4實(shí)行過(guò)程指導(dǎo)1.4.1啟動(dòng)psacct服務(wù)默認(rèn)狀況下，RedHatLinux系統(tǒng)默認(rèn)安裝了psacct程序，只要要系統(tǒng)中啟動(dòng)psacct服務(wù)，先用chkconfig命令查察psacct服務(wù)狀態(tài)，以下所示：rootlab2#chkconfig-listpsacctpsacct0:封閉1:封閉2:封閉3:封閉4:封閉5:封閉6:封閉使用命令chkconfig命令啟用默認(rèn)啟動(dòng)，并使用命令/etc/init.d/psacctstart命令來(lái)啟動(dòng)psacct服務(wù)，以下所示。rootl

4、ab2#chkconfigpsacctonrootlab2#/etc/init.d/psacctstart開(kāi)啟進(jìn)度記帳：確立rootlab2#1.4.2對(duì)網(wǎng)絡(luò)行為進(jìn)行審計(jì)第一步：顯示用戶連線時(shí)間的統(tǒng)計(jì)信息能夠依據(jù)登岸數(shù)/退出數(shù)在屏幕上打印出用戶的連線時(shí)間(單位為小時(shí))?？傆?jì)時(shí)間也能夠打印出來(lái)，假如你履行沒(méi)有任何參數(shù)的ac命令，屏幕將會(huì)顯示總計(jì)的連線時(shí)間。rootlab2#actotal102.27顯示每天的連線統(tǒng)計(jì)時(shí)間：rootlab2#ac-dJan12total23.86Jan13total1.17Jan14total13.11Jan15total6.79Jan26total46.37To

5、daytotal10.97rootlab2#顯示每一個(gè)用戶的總計(jì)連線時(shí)間和所合用戶總計(jì)連線時(shí)間：rootlab2#ac-puser19.31user27.62root85.36total102.29rootlab2#第二步：查找用戶過(guò)去履行的命令能夠使用lastcomm命令打印出用戶過(guò)去履行的命令.你也能夠經(jīng)過(guò)用戶名,tty名或命令名來(lái)搜尋過(guò)去履行的命令。比方顯示user1用戶過(guò)去履行的命令：rootlab2#lastcommuser1bashidbashidbashidunicode_startuser1user1user1user1user1user1user1tty1tty1tty1tt

6、y1tty1tty1tty10.00secsWedJan2706:240.00secsWedJan2706:240.00secsWedJan2706:240.00secsWedJan2706:240.00secsWedJan2706:240.00secsWedJan2706:240.01secsWedJan2706:24setfontuser1tty10.04secsWedJan2706:24gzipuser1tty10.00secsWedJan2706:24loadkeysuser1tty10.00secsWedJan2706:24dumpkeysuser1tty10.00secsWedJa

7、n2706:24kbd_modeuser1tty10.00secsWedJan2706:24consoletypeuser1tty10.00secsWedJan2706:24bashuser1tty10.00secsWedJan2706:24consoletypeuser1tty10.00secsWedJan2706:24bashuser1tty10.00secsWedJan2706:24iduser1tty10.00secsWedJan2706:24grepuser1tty10.00secsWedJan2706:24bashuser1tty10.00secsWedJan2706:24grep

8、user1tty10.00secsWedJan2706:24bashuser1tty10.00secsWedJan2706:24egrepuser1tty10.00secsWedJan2706:24bashuser1tty10.00secsWedJan2706:24dircolorsuser1tty10.00secsWedJan2706:24bashuser1tty10.00secsWedJan2706:24hostnameuser1tty10.00secsWedJan2706:24bashiduser1user1tty1tty10.00secsWedJan2706:240.00secsWed

9、Jan2706:24每一行信息都在屏幕上打印出來(lái)，以第一行輸出項(xiàng)為例:lsuser1tty10.01secsTueJan1216:24分析:ls是進(jìn)度的命令名user1是履行命令的用戶名tty1終端名0.01secs-進(jìn)度退出時(shí)間你能夠經(jīng)過(guò)履行下邊的命令來(lái)搜尋進(jìn)度記帳日記，以下所示：rootlab2#lastcommlslsrootpts/20.01secsWedJan2707:27lsrootpts/20.01secsWedJan2707:26lsrootpts/20.01secsWedJan2707:26lsrootpts/20.01secsWedJan2707:18lsrootpts/2

10、0.01secsWedJan2706:10lsrootpts/00.01secsWedJan2706:08lsuser1pts/00.02secsWedJan2706:05lsuser1pts/00.01secsWedJan2706:04lsrootpts/20.01secsWedJan2705:52lsrootpts/20.02secsWedJan2705:34lsrootpts/00.01secsWedJan2705:32lsrootpts/00.02secsWedJan2705:32lsrootpts/00.02secsWedJan2705:32lsrootpts/00.04secsWe

11、dJan2705:28第三步：統(tǒng)計(jì)記帳信息能夠使用sa命令打印過(guò)去履行命令的統(tǒng)計(jì)信息。其他，sa命令保留了一個(gè)叫做savacct文件，文件包括了命令被調(diào)用的次數(shù)和資源使用的次數(shù)。并且sa還供給每一個(gè)用戶的統(tǒng)計(jì)信息，這些信息保留在一個(gè)叫做usracct的文件中間。rootlab2#sa55814065.23re8.81cp1386k851894.22re7.63cp2872k*other*34.67re0.23cp2435kprelink365.75re0.13cp11812kgnome-terminal160.37re0.09cp1210ksort40.32re0.08cp1911krpmq2

12、9453.61re0.08cp1597kbash244.73re0.05cp10242kpython21711.27re0.05cp2608kvim80.17re0.05cp1426kuniq640.09re0.04cp1459ksed3168.03re0.04cp1894ksshd27740.25re0.02cp1406k9201.32re0.02cp732klogin1490.20re0.02cp1235kgrep230.02re0.01cp669kpidof20.02re0.01cp1006kxkbcomp170.02re0.01cp1390ksetfont20.33re0.01cp50

13、0kreadahead42.97re0.01cp920ktelnetd20.25re0.01cp1570krc17105.96re0.01cp1567ksu4414.52re0.01cp1217kvsftpd*30.13re0.01cp1458kifup-post96.33re0.01cp2337ksendmail*267.03re0.01cp7884keggcups445.49re0.01cp3494kconsolehelper-g以結(jié)果輸出的第一行為例：52882.55re1.15cp1400k分析：2.55re實(shí)質(zhì)時(shí)間單位為分鐘.1.15cp系統(tǒng)和用戶時(shí)間總數(shù)(CPU時(shí)間,單位為分鐘)1400k核心使用所占的均勻CPU時(shí)間,一個(gè)單元的大小為1Kld-linux.so.2命令名第四步：查察占用CPU能夠使用sam命令，以下所示：rootlab2#sa-m55844065.23re8.81cp1386kroot50213827.02re8.73cp1408kuser13888.79re0.03cp1044kgdm10.19re0.03cp15098kuser21222.90re0.01cp1087knobody278.00re0.01cp1197ksmmsp512.61re0.00cp180