linux服务器安全审计怎么弄

材料：

Linux审计系统auditd 套件

安装 auditd

REL/centos默认已经安装了此套件，如果你使用ubuntu server，则要手工安装它：

sudo apt-get install auditd

它包括以下内容：

auditctl : 即时控制审计守护进程的行为的工具，比如如添加规则等等。

/etc/audit/auditrules : 记录审计规则的文件。

aureport : 查看和生成审计报告的工具。

ausearch : 查找审计事件的工具

auditspd : 转发事件通知给其他应用程序，而不是写入到审计日志文件中。

autrace : 一个用于跟踪进程的命令。

/etc/audit/auditdconf : auditd工具的配置文件。

Audit 文件和目录访问审计

首次安装 auditd 后, 审计规则是空的。可以用 sudo auditctl -l 查看规则。文件审计用于保护敏感的文件，如保存系统用户名密码的passwd文件，文件访问审计方法：

sudo auditctl -w /etc/passwd -p rwxa

-w path : 指定要监控的路径，上面的命令指定了监控的文件路径 /etc/passwd

-p : 指定触发审计的文件/目录的访问权限

rwxa ： 指定的触发条件，r 读取权限，w 写入权限，x 执行权限，a 属性（attr）

目录进行审计和文件审计相似，方法如下：

$ sudo auditctl -w /production/

以上命令对/production目录进行保护。

3 查看审计日志

添加规则后，我们可以查看 auditd 的日志。使用 ausearch 工具可以查看auditd日志。

sudo ausearch -f /etc/passwd

-f 设定ausearch 调出 /etc/passwd文件的审计内容

4 查看审计报告

以上命令返回log如下：

time->Mon Dec 22 09:39:16 2016

type=PATH msg=audit(1419215956471:194): item=0 name="/etc/passwd"

inode=142512 dev=08:01 mode=0100644 ouid=0 ogid=0 rdev=00:00 nametype=NORMAL

type=CWD msg=audit(1419215956471:194): cwd="/home/somebody"

type=SYSCALL msg=audit(1419215956471:194): arch=40000003 syscall=5 

success=yes exit=3 a0=b779694b a1=80000 a2=1b6 a3=b8776aa8 items=1 ppid=2090 pid=2231 auid=4294967295 uid=1000 gid=1000 euid=0 suid=0 fsuid=0 egid=1000 sgid=1000 fsgid=1000 tty=pts0 ses=4294967295

comm="sudo" exe="/usr/bin/sudo" key=(null)

time : 审计时间。

name : 审计对象

cwd : 当前路径

syscall : 相关的系统调用

auid : 审计用户ID

uid 和 gid : 访问文件的用户ID和用户组ID

comm : 用户访问文件的命令

exe : 上面命令的可执行文件路径

以上审计日志显示文件未被改动。

unix安全审计的主要技术手段如下：

1、文件完整性审计：有时候文件系统完整性审计工具是确保系统没有被入侵的唯一办法。

2、用户弱口令审计：定期对域控账号的弱口令进行审计，及时发现使用了脆弱密码的员工账号。

3、安全补丁审计：补丁虚拟系会明确说明如何从空文件修改后变成 txt 文件，打补丁即可成功。

4、端口审计：定期对服务器进行扫描，将危险端口有开放的服务器记录日志或通过邮件、微信告警出来。

5、进程审计：审计进程是指审计人员在具体的审计过程中采取的行动和步骤。 广义的审计进程是指审计人员从接受审计项目开始，到审计工作结束的全部过程，一般可划分为三个阶段：审计准备、审计实施和审计终结阶段。

6、系统日志审计：日志审计系统是用于全面收集企业 IT 系统中常见的安全设备、网络设备、数据库、服务器、应用系统、主机等设备所产生的日志（包括运行、告警、操作、消息、状态等）并进行存储、监控、审计、分析、报警、响应和报告的系统。

unix安全审计的步骤

1、分析现状：对现行安全措施进行深入的分析，包括审计对象的软件、硬件和非技术的安全措施。

2、收集信息：获取系统需要进行审计的各项信息，如企业产品、服务、安全措施等。

3、识别问题：综合上述信息，识别企业信息系统可能存在的安全问题，包括软件、硬件、网络等。

4、提出建议：根据识别到的安全问题，提出消除安全风险的建议，提升企业信息系统的安全性。

5、审计报告：经过上述步骤，完成审计工作，为企业安全提供可靠的信息，并上报汇总的审计报告。

1、想要设置共享文件多用户访问，首先要创建多个用户。在电脑桌面找到计算机，在其上方点击右键，在弹出的菜单中点击管理。

2、在服务器管理器窗口中依次点击展开配置—本地用户和组—用户，在右侧窗口空白处点击右键，在弹出的菜单中点击新用户。

3、根据提示输入用户名和密码，点击创建，新用户创建完成。这里小编建议根据实际使用人的名称或者工号来进行创建，方便后期管理。

4、多名新用户创建完成后，在需要设置多用户访问的共享文件上方点击右键，在弹出的菜单中点击属性。

5、在属性窗口上方点击安全，在安全选项卡下方点击编辑，在弹出的窗口中点击添加。

6、在本地用户或组中点击高级，在弹出的窗口中点击立刻查找，在下方搜索结果中选中刚刚新建的用户中的任意一个，然后依次点击确定返回。

7、在权限中勾选允许读取和执行，其他权限根据需要勾选即可，然后依次点击确定返回。其他的用户通过上述方法一样的一个个添加进去并设置好权限即可。