(使用安全审计加强Linux主机的安全维护能力.docVIP

M6-4 使用安全审计加强Linux主机的安全维护能力 1.1场景描述 1.1.1 学习目的 学生通过该能力模块的学习,能够独立完成和熟练掌握实现主机安全审计的能力。 1.1.2 学习要求 理解:审计对主机安全的重要性。 掌握:使用psacct程序所提供的命令对主机进行审计。 1.1.3 学习重点和难点 1.学习重点 ac命令. sa命令 2.学习难点 psacct程序 1.2 知识准备 1.2.1 psacct程序 安全配置审计工具是一款用户对各类系统、设备做安全配置检查的自动化工具，能够智能化识别各类安全设置，分析安全状态，并能够给出多种配置审计分析报告，目前已经支持多种操作系统及网络设备。 RedHat Linux系统中的psacct程序可以根据安全需求进行修改。另外，利用系统工具对各类账号的操作权限做限制，能够有效保证用户无法超越其账号权限的操作，确保系统安全。 RedHat Linux系统中的psacct程序提供了几个进程活动监视工具：ac、lastcomm、accton和sa。 ac——命令显示用户连接时间的统计. lastcomm——命令显示系统执行的命令. accton——命令用于打开或关闭进程记帐功能. sa——命令统计系统进程记帐的情况. 1.3 注意事项 在使用psacct程序进行审计时，需要查看其是否安装，如果没有安装要手动进行安装。 1.4 操作步骤 1.4.1启动psacct服务 默认情况下，RedHat Linux系统默认安装了psacct程序，只需要系统中启动psacct服务，先用chkconfig命令查看psacct服务状态，如下所示： [root@lab2 ~]# chkconfig --list psacct psacct 0:关闭 1:关闭 2:关闭 3:关闭 4:关闭 5:关闭 6:关闭 使用命令chkconfig命令启用默认启动，并使用命令/etc/init.d/psacct start命令来启动psacct服务，如下所示。 [root@lab2 ~]# chkconfig psacct on [root@lab2 ~]# /etc/init.d/psacct start 开启进程记帐： [ 确定 ] [root@lab2 ~]# 1.4.2对网络行为进行审计 第一步：显示用户连线时间的统计信息 可以根据登陆数/退出数在屏幕上打印出用户的连线时间(单位为小时)。总计时间也可以打印出来，如果你执行没有任何参数的ac命令， 屏幕将会显示总计的连线时间。 [root@lab2 ~]# ac total 102.27 显示每一天的连线统计时间： [root@lab2 ~]# ac -d Jan 12 total 23.86 Jan 13 total 1.17 Jan 14 total 13.11 Jan 15 total 6.79 Jan 26 total 46.37 Today total 10.97 [root@lab2 ~]# 显示每一个用户的总计连线时间和所有用户总计连线时间： [root@lab2 ~]# ac -p user1 9.31 user2 7.62 root 85.36 total 102.29 [root@lab2 ~]# 第二步：查找用户过去执行的命令 可以使用lastcomm命令打印出用户过去执行的命令. 你也可以通过用户名, tty名或命令名来搜索以往执行的命令。 比如显示user1用户过去执行的命令： [root@lab2 ~]# lastcomm user1 bash user1 tty1 0.00 secs Wed Jan 27 06:24 id user1 tty1 0.00 secs Wed Jan 27 06:24 bash user1 tty1 0.00 secs Wed Jan 27 06:24 id user1 tty1 0.00 secs Wed Jan 27 06:24 bash use