文章目录
- 前言
- 一、等保要求
-
- 安全审计
- 二、修复内容
-
- 1. 启用审计功能:
- 2. 配置审计策略:
- 3. 定期审计日志:
- 4. 保护审计日志:
- 5. 审计告警和响应:
- 三、修复步骤
-
- 1. 启用审计功能:
- 2. 配置审计策略:
- 3. 定期审计日志:
- 4. 保护审计日志:
- 5. 审计告警和响应:
- 总结
- 系列文章目录
前言
根据 Linux 操作系统的等保测评二级合规基线要求,确保系统具备安全审计功能,对系统中的重要事件和操作进行记录和审计,以便后续的安全分析和追溯。
一、等保要求
安全审计
- 应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计
- 应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等
二、修复内容
1. 启用审计功能:
配置 Linux 操作系统的审计功能,记录系统中的重要事件,如登录、文件访问、进程活动等。可以通过修改 /etc/audit/audit.rules 文件来配置审计规则。
2. 配置审计策略:
根据业务需求和安全要求,制定合理的审计策略。确定需要审计的事件类型、对象和操作,并设置相应的审计规则。
3. 定期审计日志:
定期查看和分析审计日志,及时发现异常行为和潜在的安全威胁。可以使用审计工具或脚本自动化审计日志的分析和报告。
4. 保护审计日志:
- 确保审计日志的安全性,防止未经授权的访问、修改或删除。可以设置日志文件的权限、加密存储或定期备份审计日志。
- 编辑文件 /etc/audit/audit.rules,设置需要审计的事件类型和对象。例如,可以添加以下规则来审计登录事件:
5. 审计告警和响应:
配置实时审计告警功能,及时通知安全管理员有关重要事件的发生。建立相应的响应机制,对审计告警进行及时处理和调查。
三、修复步骤
1、启用auditd服务
2、启用rsyslog或syslog-ng服务
3、确保收集用户的文件删除事件
4、确保收集对系统管理范围(sudoers)的更改
5、确保收集修改用户/组信息的事件 如使用了第三方日志收集服务,可自行举证并忽略此项。
下面是各整改内容的具体步骤:
1. 启用审计功能:
执行service auditd status命令查看auditd服务状态
service auditd status
如果是没启动则执行service auditd start命令启用auditd服务:
service auditd start
2. 配置审计策略:
- 确定需要审计的事件类型,如登录、文件访问、进程活动等。
- 制定审计规则,例如,限制特定用户对敏感文件的访问。
- 配置审计策略的规则,例如,设置审计日志的保留时间。
1、编辑文件 /etc/audit/audit.rules,设置需要审计的事件类型和对象。例如,可以添加以下规则来审计登录事件:
vim /etc/audit/audit.rules
-a always,postdrop /var/log/audit/audit.log
-w /var/log/lastlog
-w /var/run/utmp
2、将以下行添加到/etc/audit/rules.d/audit.rules和/etc/audit/audit.rules
文件中:
-a always,exit -F arch=b64 -S unlink -S unlinkat -S rename -S renameat -F auid>=1000 -F auid!=4294967295 -k delete
-a always,exit -F arch=b32 -S unlink -S unlinkat -S rename -S renameat -F auid>=1000 -F auid!=4294967295 -k delete
这两个规则的作用是限制只有 root 用户或具有特定权限的用户才能删除文件。
| 规则 | 意思 |
|---|---|
| -a always,exit | 任何情况下(always),当进程退出(exit)时触发该规则 |
| -F arch=b32 | 指定规则适用于 32 位架构(b32)的系统。 |
| -S unlink | 表示规则适用于文件删除操作(unlink)。 |
| -S unlinkat | 表示规则适用于通过unlinkat()系统调用进行的文件删除操作。 |
| -S rename | 表示规则适用于文件重命名操作(rename)。 |
| -S renameat | 表示规则适用于通过renameat()系统调用进行的文件重命名操作。 |
| -F auid>=1000 | 表示规则适用于进程的有效用户 ID(auid)大于或等于 1000 的情况。这里的 1000 是一个示例值,你可以根据实际需要进行调整。 |
| -F auid!=4294967295 | 表示规则不适用于进程的有效用户 ID 等于 4294967295 的情况。4294967295 是 Unix 系统中的 root 用户 ID。 |
| -k delete | 表示拒绝删除操作。如果规则匹配成功,系统将拒绝执行删除操作,并记录相应的日志信息。 |
3、将以下行添加到/etc/audit/rules.d/audit.rules和/etc/audit/audit.rules 文件中:
-w /etc/group -p wa -k identity
-w /etc/passwd -p wa -k identity
-w /etc/gshadow -p wa -k identity
-w /etc/shadow -p wa -k identity
-w /etc/security/opasswd -p wa -k identity
4、将以下行添加到/etc/audit/rules.d/audit.rules和/etc/audit/audit.rules
文件中:
-w /etc/sudoers -p wa -k scope
-w /etc/sudoers.d/ -p wa -k scope
5、 重启审计服务:
sudo service auditd restart
3. 定期审计日志:
- 制定审计日志的定期查看和分析计划。
- 使用审计工具或脚本,自动化审计日志的分析和报告。
- 及时发现异常行为和潜在的安全威胁,并采取相应的措施。
- 执行命令
service rsyslog start启用rsyslog服务;
service rsyslog start
4. 保护审计日志:
- 设置日志文件的权限,限制对审计日志的访问。
- 加密存储审计日志,以防止未经授权的访问。
- 定期备份审计日志,以防止日志丢失。
可通过日志文件分隔备份或者远程服务器日志备份来实现,以下两种方式之一修复加
固:
1、编辑/etc/audit/auditd.conf,添加或编辑以下配置内容:
## log_format定义了log日志的储存方式
`log_format = RAW`
## log file的文件数量,设为5-10之间
`num_logs = 5`
## max_log_file定义单个日志文件最大size,单位MB,设为5-50
max_log_file = 8
max_log_file_action = ROTATE
disk_full_action = SUSPEND
2、编辑/etc/rsyslog.conf文件添加以下行(logfile.example.com是日志主机的名称):
*.* @@loghost.example.com
执行以下命令重启rsyslog:
pkill -HUP rsyslogd
5. 审计告警和响应:
- 配置实时审计告警功能,例如,使用 syslog 或其他监控工具来接收告警信息。
- 建立相应的响应机制,例如,安全管理员应及时处理审计告警并进行调查。
总结
通过以上整改措施,可以满足 Linux 操作系统等保测评二级合规基线关于安全审计的要求。启用审计功能、配置审计策略、定期审计日志、保护审计日志以及建立审计告警和响应机制,将有助于提高系统的安全性和合规性。
系列文章目录
Linux 操作系统等保测评二级合规基线整改项 - 安全审计篇
Linux 操作系统等保测评二级合规基线整改项 - 访问控制篇(敬请期待)
Linux 操作系统等保测评二级合规基线整改项 - 入侵防范篇(敬请期待)
Linux 操作系统等保测评二级合规基线整改项 - 身份鉴别篇(敬请期待)