Linux系统审计机制的研究和安全配置.pdfVIP

Linux系统审计机制的研究及安全配置 宋金玉陆卫东张毓森 (解放军理工大学指挥自动化学院) 【摘要】审计机制是Linux系统安奎的重要组成部分．本文介绍了审计技术的概念及重要性， 详细论述了Linux的审计机制厦其日志文件．为了增强linux审计机制的安全性，提出了若干可行的 安全配置措施。 【关键词】linux审计 日志 安全 1引言 安全审计与追踪就是对有关操作系统、系统应用或用户活动所产生的一系列的 计算机安全事件进行记录和分析的过程。待审计的用户活动按各自的性质不同，被 视为不同的审计事件，审计事件是系统审计用户动作的最基本单位。系统管理员可 以有选择地设置哪些用户、哪些操作(命令或系统调用)、对哪些敏感资源的访问等 需要审计，事件的类型、用户的身份、操作的时间、参数和状态等构成一个审计记 录记入审计日志。系统管理员可查看和分析审计日志，检查系统中有无危害安全性 的活动。 审计是模拟社会监督机制而引入计算机系统中的，用于监视并记录系统活动的 一种机制。DorothyDenning在1986年IEEE《安全与保密》会议上的一篇文章首 先指出如何将审计记录用于加强计算机系统的安全。 美国国防部《可信计算机系统评价标准》(TCSEC)、国际标准《信息技术 安全评价标准》(ISO／IEC15408)以及《计算机信息系统安全保护等级划分准则》 (GBl7859—1999)均对操作系统的审计功能进行了描述。 2 Linux的审计机制 审计日志是Linux安全结构中的一个重要内容，它是提供攻击发生的唯一真实 证据。Linux可提供网络、主机和用户级的日志信息，可以记录以下内容： ● 记录所有系统和内核的信息； ● 记录每一次网络连接和它们的源m地址、长度，有时还包括攻击者的用 户名和使用的操作系统： · 记录远程用户申请访问的文件： ．329． ● 记录用户可以控制的进程： ● 记录具体用户使用的每条命令。 Linux在系统、应用和协议层均可产生日志，且大部分linux把输出日志信息 放入标准或共享的日志文件里。 (1)系统日志文件 系统日志文件都是由syslog(或klog)守护进程创建的，所有受限制的服务都 有一种途径和syslog进行通信。 件的语法格式如下： facility．priority action 这里的facility和priority对应系统的各种服务和其优先级。 没有指定设备名的服务，可使用local[1-7】作局部设备名。facility主要用来区分各 类日志信息，从而对其进行不同的处理(程序默认为user)。 (程序的信息)和debug(调试)。priority是被记录的信息具有的最低优先级，除 非要优化输出，将对这个优先级和更高级别的信息进行记录，该部分不是必须的。 格式中action规定了syslog对要求的消息所做的操作，可将信息记录到指定文 件，还可以记录到终端或控制台、命名管道、远程主机和指定用户。 细说明了如何处理那些能被守护进程接收的记录信息的类型，从而确定各类的日志 信息该如何输出。下面是一些linux系统最基本的配置，列出了由syslogd管理的 系统守护进程和内核所产生的日志信息及对信息所做的操作。 ” #kern．’ ／dev／console +．info；mail，news，authpriv,auth．none ／var／log／messages authpriv．+；auth．+ ／var／log／secure mail．+ ／var／log／maillog uucp，news．err ／var／log／spooler + +．emerg