admin 管理员组

文章数量: 1086019


2024年6月6日发(作者:js全局变量和局部变量)

Ubuntu等保三级检查命令

Ubuntu系统默认只能以普通权限账户登录,无法直接登录root账户,所以很多要用到管理员权

限的命令加sudo。

1、查看文件权限

查看该文件的权限

ls -la /var/log/audit/

查看如下文件的权限是否满足

ls -l /etc/passwd

ls -l /etc/hosts

ls -l /etc/

ls -l /etc/

ls -l /etc/shadow

ls -l /etc/

ls -l /etc/group

ls -l /etc/services

文件中日志信息所在文件的访问权限

ls -l /var/log/messages

ls -l /var/log/secure

ls -l /var/log/audit/

2、查看系统版本

cat /etc/issue

cat /proc/version

uname -a

lsb_release -a

3、服务相关

service --status-all 查看本机的所有服务运行状态(这条命令可以看到服务器是否安装杀

毒软件)

service --status-all | more

service --status-all | less

service --status-all | grep running 只查看正在运行的服务

chkconfig --list 查看开机自启服务

sysv-rc-conf 配置服务级别的命令:

一般的linux有7个级别,ubuntu有8个级别(多了一个S级别)

0代表关机(halt)

1级别是单用户模式(single)

2级别是多用户级别,这个是默认级别

3,4,5未定义,可以提供给用户定义其他多用户级别

6代表重启(restart)

S级别系统内部定义的单用户恢复模式。

可以用init 6代表重启,切换运行级别。

4、审计相关

rpm -ql auditd 检查是否安装了 audit 插件

sudo apt-get install auditd 安装 audit 插件

service auditd status 查看audit 服务的运行状态

auditctl -s 查询状态

auditctl -l 查看规则

auditctl -D 删除所有规则

ausearch -i -k key_name 查看审计日志#key_name为标识符

5、审计规则语法

临时测试语法格式:auditctl -w PATH -p PERMISSION -k KEY_NAME,直接执行命令。

永久生效语法格式: -w PATH -p PERMISSION -k KEY_NAME,需要配置到/etc/audit/ 或者

/etc/audit/rules.d/ 文件中。

PATH:审计指定路径。

PERMISSION:审计权限范围,r为读,w为写,x为执行,a代表文件或目录的属性发生变化。

KEY_NAME:标识符。

6、配置临时审计规则

临时添加审计规则并测试,临时添加的审计规则,重启服务后会自动消失,这里用于测试。

1.添加临时测试审计命令:

auditctl -w /root -p rwxa -k root_test_change

# 审计目录为:root,审计权限为:rwxa,标识符为:root_test_change

2.模拟产生审计日志命令:

ll /root;

touch /root/test;

3.查看审计日志命令:

ausearch -i -k root_test_change

7、配置永久审计规则

编辑以下任意1个文件,实现审计规则,/etc/audit/ 或者 /etc/audit/rules.d/。

这里对5个目录操作实现审计行为:

-w /etc/passwd -p rwxa -k passwd_change,系统用户账户信息。

-w /etc/shadow -p rwxa -k shadow_change,系统用户密码信息。

-w /etc/group -p rwxa -k group_change,系统用户组信息。

-w /var/log/ -p rwxa -k log_change,系统日志信息。

-w /usr/local/mysql -p rwxa -k mysql_change,MySQL数据库信息。

通过命令,service auditd restart 重启服务后,auditctl -s 和 auditctl -l 查看服务状态和审计规则。

查询 /etc/ 主配置文件如下:

log_file = /var/log/audit/,默认的日志存储目录文件。


本文标签: 审计 文件 服务 查看 级别

版权声明:本文标题:Ubuntu等保三级检查完善方案 内容由网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:http://roclinux.cn/p/1717654115a710352.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。