Linux 系统审计样例.docVIP

Linux 系统审计样例关于如何安装一个安全的 Linux 系统已经撰写了很多文章和书籍。但是为了确保满足安全性需求而安装系统之后，整个战役才打赢了一半。另外一半需要确保系统在整个生命周期中都可以满足安全性需求（并且您可以证明这一点）。这就意味着需要对系统进行周期性审计，才能确保不会出现问题。系统审计需求例程系统审计过程中需要验证的安全性需求应该与系统安装过程中使用的需求和安全性准则相同。这个 3 部分的 developerWorks 系列文章 “HYPERLINK /developerworks/cn/views/linux/articles.jsp?view_by=searchsearch_by=让+Linux+更安全让 Linux 更安全” 向您简要介绍了如何安装一个非常安全的 Linux 系统。正常的系统审计也可以帮助提炼安装新机器时所使用的安全策略，因为它有助于关闭关于实际使用的子系统的反馈循环。满足这些需求的第一组工具是系统审计和基于主机的入侵检测。本文着重介绍的是系统审计。基于主机的入侵检测系统有 tripwire、AIDE 和 Samhain，它们都可以检测出何时对文件系统进行了修改，因此对于确保系统仍然维持在已知状态来说是至关重要的一些工具。Linux Gazette 上有一篇有关使用这些工具的有趣文章 “Constructive Paranoia”（链接请参看下面的 HYPERLINK \l resources参考资料）。本文的重点是基于管理大型学术网络子网的系统管理员的真实需求而总结出的一些周期性的系统审计实践。这些管理员所学到的教训同样适用于企业 intranet 和那些希望防止自己的机器在蠕虫军队面前变成一具僵尸的家庭用户。管理员的系统需要周期性地进行随机的系统审计，在此过程中需要执行一些例行的审计操作（例如显示周期性查看的审计和系统日志，检查已经失效的用户帐号）。另外，系统管理员还需要解决以下问题：了解系统中的 suid/sgid 可执行文件，并确定为什么这些文件要使用 suid/sgid 权限证明具有人人可写目录（/tmp 和 /var/tmp）的文件系统中没有任何 suid/sgid 文件打开一些端口，并验证防火墙关闭这些端口的影响这些 suid 文件是干什么用的？确定系统中的 suid 和 sgid 文件 — 并对那些不需要的文件禁用这种权限 — 是安装安全系统的一条基本原则。这种任务很常见，find 手册页在它的例子中就列出了这个任务所使用的参数。清单 1 是一个执行典型的 find 命令的脚本，可以帮助回答 suid 文件执行什么功能，以及它属于哪个包；这样可以帮助管理员定位这些文件，并确定这些文件是应该保留在系统中还是应该删除。（您可以从本文后面 HYPERLINK \l download下载 一节的 zip 文件下载清单 1、3、4 的代码）。清单 1. 搜索 suid/sgid 文件的精简后的样例输出 [root@localhost hpc]# ./find_setuids.pl /04755 root /usr/X11R6/bin/cardinfo cardinfo - PCMCIA card monitor and control utility for Xpcmcia-cardinfo-3.2.7-107.304755 root /usr/bin/opiepasswd opiepasswd - Change or set a users password for the OPIE authentication system.Opie-2.4-544.104755 root /usr/bin/opiesu opiesu - Replacement su(1) program that uses OPIE challengesopie-2.4-544.104755 root /usr/bin/sudo sudo - execute a command as another usersudo-1.6.7p5-117.4哪些文件系统包含人人可写的目录？作为一名系统管理员，您可能会对人人可写的目录感兴趣，从而满足所有用户可写的文件系统应该使用 nosuid 属性进行挂载的需求。用户可写的目录包括用户的根目录，以及任何人人可写的目录。之所以有这种要求是为了防止创建其他用户或管理员可能会不经意执行的 suid 可执行程序。然而，如果在一个合法的 suid 可执行程序与一个人人可写的目录在同一个文件系统中，因此使用 nosuid 选项来挂载的，那么 suid 位就会被忽略，这个可执行程序也就无