使用安全審計加強Linux主機的安全維護能力

1、M6-4 使用安全全審計加強強Linuux主機的的安全維護護能力1.1場景景描述1.1.11 學習目的的學生通過該該能力模塊塊的學習,能夠獨立立完成和熟熟練掌握實實現(xiàn)主機安安全審計的的能力。1.1.22 學習要要求理解:審計計對主機安安全的重要要性。掌握:使用用psaccct程序序所提供的的命令對主主機進行審審計。1.1.33 學習重重點和難點點1.學習重重點ac命令.sa命令2.學習難難點psaccct程序1.2 知知識準備1.2.11 psaacct程程序安全配置審審計工具是是一款用戶戶對各類系系統(tǒng)、設(shè)備備做安全配配置檢查的的自動化工工具，能夠夠智能化識識別各類安安全設(shè)置，分分析安全狀狀態(tài)

2、，并能能夠給出多多種配置審審計分析報報告，目前前已經(jīng)支持持多種操作作系統(tǒng)及網(wǎng)網(wǎng)絡(luò)設(shè)備。RedHaat Liinux系系統(tǒng)中的ppsaccct程序可可以根據(jù)安安全需求進進行修改。另外，利利用系統(tǒng)工工具對各類類賬號的操操作權(quán)限做做限制，能能夠有效保保證用戶無無法超越其其賬號權(quán)限限的操作，確確保系統(tǒng)安安全。RedHaat Liinux系系統(tǒng)中的ppsaccct程序提提供了幾個個進程活動動監(jiān)視工具具：ac、lasttcommm、acccton和和sa。ac命命令顯示用用戶連接時時間的統(tǒng)計計.lastccomm命令顯顯示系統(tǒng)執(zhí)執(zhí)行的命令令.acctoon命令用用于打開或或關(guān)閉進程程記帳功能能.sa命命令

3、統(tǒng)計系系統(tǒng)進程記記帳的情況況.1.3 注注意事項在使用pssacctt程序進行行審計時，需需要查看其其是否安裝裝，如果沒沒有安裝要要手動進行行安裝。1.4 操操作步驟1.4.11啟動pssacctt服務(wù)默認情況下下，ReddHat Linuux系統(tǒng)默默認安裝了了psaccct程序序，只需要要系統(tǒng)中啟啟動psaacct服服務(wù)，先用用chkcconfiig命令查查看psaacct服服務(wù)狀態(tài)，如如下所示：roottlabb2 # chhkconnfig -liist ppsaccctpsaccct 00:關(guān)閉 1:關(guān)關(guān)閉 22:關(guān)閉 3:關(guān)關(guān)閉 44:關(guān)閉 5:關(guān)關(guān)閉 66:關(guān)閉使用命令cchkco

4、onfigg命令啟用用默認啟動動，并使用用命令/eetc/iinit.d/pssacctt staart命令令來啟動ppsaccct服務(wù)，如如下所示。roottlabb2 # chhkconnfig psaccct oonroottlabb2 # /eetc/iinit.d/pssacctt staart開啟進程記記帳： 確定定 roottlabb2 #1.4.22對網(wǎng)絡(luò)行行為進行審審計第一步：顯顯示用戶連連線時間的的統(tǒng)計信息息可以根據(jù)登登陸數(shù)/退退出數(shù)在屏屏幕上打印印出用戶的的連線時間間(單位為為小時)。總計時間間也可以打打印出來，如如果你執(zhí)行行沒有任何何參數(shù)的aac命令， 屏幕將會會顯示總

5、計計的連線時時間。roottlabb2 # acc ttotall 1002.277顯示每一天天的連線統(tǒng)統(tǒng)計時間：roottlabb2 # acc -dJan 112 ttotall 223.866Jan 113 ttotall 1.177Jan 114 ttotall 113.111Jan 115 ttotall 6.799Jan 226 ttotall 446.377Todayy ttotall 110.977roottlabb2 #顯示每一個個用戶的總總計連線時時間和所有有用戶總計計連線時間間：roottlabb2 # acc -p uuser11 9.311 uuser22 7.622

6、 rroot 885.366 ttotall 1002.299roottlabb2 #第二步：查查找用戶過過去執(zhí)行的的命令可以使用llastccomm命命令打印出出用戶過去去執(zhí)行的命命令. 你你也可以通通過用戶名名, ttty名或命命令名來搜搜索以往執(zhí)執(zhí)行的命令令。比如顯示uuser11用戶過去去執(zhí)行的命命令：roottlabb2 # laastcoomm uuser11bash userr1 ttyy1 0.000 seccs Weed Jaan 277 06:24id userr1 ttyy1 0.000 seccs Weed Jaan 277 06:24bash userr1 ttyy1

7、 0.000 seccs Weed Jaan 277 06:24id uuser11 tty11 00.00 secss Wedd Jann 27 06:224bash uuser11 tty11 00.00 secss Wedd Jann 27 06:224id uuser11 tty11 00.00 secss Wedd Jann 27 06:224unicoode_sstartt uuser11 tty11 00.01 secss Wedd Jann 27 06:224setfoont uuser11 tty11 00.04 secss Wedd Jann 27 06:224gzip u

8、user11 tty11 00.00 secss Wedd Jann 27 06:224loadkkeys uuser11 tty11 00.00 secss Wedd Jann 27 06:224dumpkkeys uuser11 tty11 00.00 secss Wedd Jann 27 06:224kbd_mmode uuser11 tty11 00.00 secss Wedd Jann 27 06:224consooletyype uuser11 tty11 00.00 secss Wedd Jann 27 06:224bash uuser11 tty11 00.00 secss W

9、edd Jann 27 06:224consooletyype uuser11 tty11 00.00 secss Wedd Jann 27 06:224bash uuser11 tty11 00.00 secss Wedd Jann 27 06:224id uuser11 tty11 00.00 secss Wedd Jann 27 06:224grep uuser11 tty11 00.00 secss Wedd Jann 27 06:224bash uuser11 tty11 00.00 secss Wedd Jann 27 06:224grep uuser11 tty11 00.00

10、secss Wedd Jann 27 06:224bash uuser11 tty11 00.00 secss Wedd Jann 27 06:224egrepp uuser11 tty11 00.00 secss Wedd Jann 27 06:224bash uuser11 tty11 00.00 secss Wedd Jann 27 06:224dircoolorss uuser11 tty11 00.00 secss Wedd Jann 27 06:224bash uuser11 tty11 00.00 secss Wedd Jann 27 06:224hostnname uuser1

11、1 tty11 00.00 secss Wedd Jann 27 06:224bash uuser11 tty11 00.00 secss Wedd Jann 27 06:224id uuser11 tty11 00.00 secss Wedd Jann 27 06:224每一行信息息都在屏幕幕上打印出出來，以第第一行輸出出項為例:ls useer1 ttty1 0.001 seecs TTue JJan 112 166:24分析:ls是進程程的命令名名user11是執(zhí)行命命令的用戶戶名tty1 終端名0.01 secss - 進程退出出時間你可以通過過執(zhí)行下面面的命令來來搜索進程程記帳日志志

12、，如下所所示：roottlabb2 # laastcoomm llsls rroot pts/2 00.01 secss Wedd Jann 27 07:227ls rroot pts/2 00.01 secss Wedd Jann 27 07:226ls rroot pts/2 00.01 secss Wedd Jann 27 07:226ls rroot pts/2 00.01 secss Wedd Jann 27 07:118ls rroot pts/2 00.01 secss Wedd Jann 27 06:110ls rroot pts/0 00.01 secss Wedd Jann

13、 27 06:008ls uuser11 pts/0 00.02 secss Wedd Jann 27 06:005ls uuser11 pts/0 00.01 secss Wedd Jann 27 06:004ls rroot pts/2 00.01 secss Wedd Jann 27 05:552ls rroot pts/2 00.02 secss Wedd Jann 27 05:334ls rroot pts/0 00.01 secss Wedd Jann 27 05:332ls rroot pts/0 00.02 secss Wedd Jann 27 05:332ls rroot p

14、ts/0 00.02 secss Wedd Jann 27 05:332ls rroot pts/0 00.04 secss Wedd Jann 27 05:228第三步：統(tǒng)統(tǒng)計記帳信信息可以使用ssa命令打打印過去執(zhí)執(zhí)行命令的的統(tǒng)計信息息。另外，ssa命令保保存了一個個叫做saavaccct文件，文文件包含了了命令被調(diào)調(diào)用的次數(shù)數(shù)和資源使使用的次數(shù)數(shù)。而且ssa還提供供每一個用用戶的統(tǒng)計計信息， 這些信息息保存在一一個叫做uusraccct的文文件當中。roottlabb2 # saa 55581 44065.23ree 88.81ccp 13386k 85 11894.22ree 77.6

15、3ccp 28872k *othher* 3 4.67ree 00.23ccp 24435k prrelinnk 3 65.75ree 00.13ccp 118812k gnnome-termminall 16 0.37ree 00.09ccp 12210k soort 4 0.32ree 00.08ccp 19911k rppmq 29 453.61ree 00.08ccp 15597k baash 2 44.73ree 00.05ccp 102242k pyythonn2 17 11.27ree 00.05ccp 26608k viim 8 0.17ree 00.05ccp 14426k

16、unniq 64 0.09ree 00.04ccp 14459k seed 3 168.03ree 00.04ccp 18894k ssshd 22774 0.25ree 00.02ccp 14406k ldd-linnux.sso.2 9 201.32ree 00.02ccp 7732k loogin 149 0.20ree 00.02ccp 12235k grrep 23 0.02ree 00.01ccp 6669k piidof 2 0.02ree 00.01ccp 10006k xkkbcommp 17 0.02ree 00.01ccp 13390k seetfonnt 2 0.33r

17、ee 00.01ccp 5500k reeadahhead 4 2.97ree 00.01ccp 9920k teelnettd 2 0.25ree 00.01ccp 15570k rcc 17 105.96ree 00.01ccp 15567k suu 44 14.52ree 00.01ccp 12217k vssftpdd* 3 0.13ree 00.01ccp 14458k iffup-ppost 9 6.33ree 00.01ccp 23337k seendmaail* 2 67.03ree 00.01ccp 78884k egggcupps 4 45.49ree 00.01ccp 3

18、4494k coonsollehellper-g以結(jié)果輸出出的第一行行為例：5288 2.55ree 11.15ccp 14400k ldd-linnux.sso.2分析：2.55rre 實實際時間 單位為為分鐘.1.15ccp系統(tǒng)和和用戶時間間總數(shù)(CCPU時間間, 單位位為分鐘)1400kk核心使用用所占的平平均CPUU時間, 一個單元元的大小為為1Kld-liinux.so.22命令名第四步：查查看占用CCPU可以使用ssa m命令，如如下所示：roottlabb2 # saa -m5584 44065.23ree 88.81ccp 13386kroot 50021 38827.002r

19、e 8.73cpp 14008kuser11 388 8.79ree 00.03ccp 10044kgdm 1 0.119re 0.03cpp 150998kuser22 1222 22.90rre 0.011cp 11087kknoboddy 27 8.00ree 00.01ccp 11197ksmmspp 5 12.661re 0.00cpp 18008ksshd 3 0.07ree 00.00ccp 15549kuser111 111 55.95rre 0.000cp 11218kkhtt 6 1999.700re 0.000cp 96355k可以通過查查看re、k、cpp/cpuu(見

20、上面面輸出解釋釋)時間來來找出可疑疑的活動，或或某個用戶戶/命令占占用了所有有的CPUU時間。 如果CPPU/Meemeorry使用數(shù)數(shù)(命令)在不斷增增加，可以以說明命令令存在問題題。1. 5 拓展知識識1.5.11 TCPPDUMPP詳解tcpduump是一一個用于截截取網(wǎng)絡(luò)分分組，并輸輸出分組內(nèi)內(nèi)容的工具具。tcppdumpp憑借強大大的功能和和靈活的截截取策略，使使其成為類類UNIXX系統(tǒng)下用用于網(wǎng)絡(luò)分分析和問題題排查的首首選工具。tcpduump提供供了源代碼碼，公開了了接口，因因此具備很很強的可擴擴展性，對對于網(wǎng)絡(luò)維維護和入侵侵者都是非非常有用的的工具。ttcpduump存在在于基

21、本的的Linuux系統(tǒng)中中，由于它它需要將網(wǎng)網(wǎng)絡(luò)界面設(shè)設(shè)置為混雜雜模式，普普通用戶不不能正常執(zhí)執(zhí)行，但具具備rooot權(quán)限的的用戶可以以直接執(zhí)行行它來獲取取網(wǎng)絡(luò)上的的信息。因因此系統(tǒng)中中存在網(wǎng)絡(luò)絡(luò)分析工具具主要不是是對本機安安全的威脅脅，而是對對網(wǎng)絡(luò)上的的其他計算算機的安全全存在威脅脅。 一、概述顧顧名思義，ttcpduump可以以將網(wǎng)絡(luò)中中傳送的數(shù)數(shù)據(jù)包的“頭”完全全截獲下來來提供分析析。它支持持針對網(wǎng)絡(luò)絡(luò)層、協(xié)議議、主機、網(wǎng)絡(luò)或端端口的過濾濾，并提供供and、or、nnot等邏邏輯語句來來幫助你去去掉無用的的信息。引用# tcppdumpp vvtcpduump: listteninng

22、onn ethh0, llink-typee EN110MB (Ethherneet), captture sizee 96 bytees11:533:21.4445591 IIP (ttos 00 x10, ttll 64, id 193224, ooffseet 0, flaags DF, prooto 66, leengthh: 922) assptesst.loocalddomaiin.sssh 44.18588: P 396221326600:3396211326552(522) acck 2772652259366 winn 12666aspteest.l

23、localldomaain.11077 1992.1668.2228.1553.doomainn: bbad uudp ccksumm 1666e! 325+ PTRR? 2444.2228.1668.1992.inn-adddr.arrpa. (46)11:533:21.4469929 IIP (ttos 00 x0, ttl 64, id 4429111, offfsett 0, flaggs DDF, protto 177, leengthh: 1551) 1192.1168.2228.1153.ddomaiin aspttest.locaaldommain.10777: 3225 NX

24、XDomaain qq: PTTR? 2244.2228.1168.1192.iin-adddr.aarpa. 0/11/0 nns: 1168.1192.iin-adddr.aarpa. (1223)11:533:21.4474408 IIP (ttos 00 x10, ttll 64, id 193228, ooffseet 0, flaags DF, prooto 66, leengthh: 1772) aaspteest.llocalldomaain.sssh 1922.1688.2288.2444.18558: PP 1688:3000(1322) acck 1 win 126663

25、47 ppackeets ccaptuured1474 packkets receeivedd by filtter745 ppackeets ddroppped bby keernell不帶參數(shù)的的tcpddump會會收集網(wǎng)絡(luò)絡(luò)中所有的的信息包頭頭，數(shù)據(jù)量量巨大，必必須過濾。二、選項介介紹引用-A 以AASCIII格式打印印出所有分分組，并將將鏈路層的的頭最小化化。-c 在收收到指定的的數(shù)量的分分組后，ttcpduump就會會停止。 -C 在將將一個原始始分組寫入入文件之前前，檢查文文件當前的的大小是否否超過了參參數(shù)fille_siize 中中指定的大大小。如果果超過了指指定大小，則則關(guān)閉當

26、前前文件，然然后在打開開一個新的的文件。參參數(shù) fiile_ssize 的單位是是兆字節(jié)（是是1,0000,0000字節(jié)，而而不是1,048,576字字節(jié)）。-d 將匹匹配信息包包的代碼以以人們能夠夠理解的匯匯編格式給給出。-dd 將將匹配信息息包的代碼碼以c語言言程序段的的格式給出出。-ddd 將匹配信信息包的代代碼以十進進制的形式式給出。-D 打印印出系統(tǒng)中中所有可以以用tcppdumpp截包的網(wǎng)網(wǎng)絡(luò)接口。-e 在輸輸出行打印印出數(shù)據(jù)鏈鏈路層的頭頭部信息。-E 用sspiiipadddr allgo:ssecreet解密那那些以adddr作為為地址，并并且包含了了安全參數(shù)數(shù)索引值sspi的

27、IIPsecc ESPP分組。 -f 將外外部的Innternnet地址址以數(shù)字的的形式打印印出來。-F 從指指定的文件件中讀取表表達式，忽忽略命令行行中給出的的表達式。-i 指定定監(jiān)聽的網(wǎng)網(wǎng)絡(luò)接口。-l 使標標準輸出變變?yōu)榫彌_行行形式，可可以把數(shù)據(jù)據(jù)導出到文文件。-L 列出出網(wǎng)絡(luò)接口口的已知數(shù)數(shù)據(jù)鏈路。-m 從文文件moddule中中導入SMMI MIIB模塊定定義。該參參數(shù)可以被被使用多次次，以導入入多個MIIB模塊。-M 如果果tcp報報文中存在在TCP-MD5選選項，則需需要用seecrett作為共享享的驗證碼碼用于驗證證TCP-MD5選選選項摘要要（詳情可可參考RFFC 23385）

28、。-b 在數(shù)數(shù)據(jù)-鏈路路層上選擇擇協(xié)議，包包括ip、arp、rarpp、ipxx都是這一一層的。-n 不把把網(wǎng)絡(luò)地址址轉(zhuǎn)換成名名字。-nn 不不進行端口口名稱的轉(zhuǎn)轉(zhuǎn)換。-N 不輸輸出主機名名中的域名名部分。例例如，nnic.dddn.mmil只只輸出nnic。-t 在輸輸出的每一一行不打印印時間戳。-O 不運運行分組分分組匹配（ppackeet-maatchiing）代代碼優(yōu)化程程序。-P 不將將網(wǎng)絡(luò)接口口設(shè)置成混混雜模式。-q 快速速輸出。只只輸出較少少的協(xié)議信信息。-r 從指指定的文件件中讀取包包(這些包包一般通過過-w選項項產(chǎn)生)。-S 將ttcp的序序列號以絕絕對值形式式輸出，而而不是

29、相對對值。-s 從每每個分組中中讀取最開開始的snnapleen個字節(jié)節(jié)，而不是是默認的668個字節(jié)節(jié)。-T 將監(jiān)監(jiān)聽到的包包直接解釋釋為指定的的類型的報報文，常見見的類型有有rpc遠遠程過程調(diào)調(diào)用）和ssnmp（簡簡單網(wǎng)絡(luò)管管理協(xié)議；）。 -t 不在在每一行中中輸出時間間戳。 -tt 在在每一行中中輸出非格格式化的時時間戳。-ttt 輸出本行行和前面一一行之間的的時間差。-ttttt 在每一一行中輸出出由datte處理的的默認格式式的時間戳戳。-u 輸出出未解碼的的NFS句句柄。-v 輸出出一個稍微微詳細的信信息，例如如在ip包包中可以包包括ttll和服務(wù)類類型的信息息。 -vv 輸輸出詳細

30、的的報文信息息。-w 直接接將分組寫寫入文件中中，而不是是不分析并并打印出來來。三、tcppdumpp的表達式式介紹表達式是一一個正則表表達式，ttcpduump利用用它作為過過濾報文的的條件，如如果一個報報文滿足表表 達式的的條件，則則這個報文文將會被捕捕獲。如果果沒有給出出任何條件件，則網(wǎng)絡(luò)絡(luò)上所有的的信息包 將會被截截獲。在表達式中中一般如下下幾種類型型的關(guān)鍵字字： 引用第一種是關(guān)關(guān)于類型的的關(guān)鍵字，主主要包括 hostt，nett，porrt，例如如 hosst 2110.277.48.2， 指指明 2110.277.48.2是一臺臺主機，nnet 2202.00.0.00指明2002

31、.0.0.0是是一個網(wǎng)絡(luò)絡(luò)地址，pport 23 指指明端口號號是23。如果沒有有指定類型型，缺省的的類型是hhost。第二種是確確定傳輸方方向的關(guān)鍵鍵字，主要要包括srrc，dsst，dsst orr srcc，dstt andd srcc， 這些些關(guān)鍵字指指明了傳輸輸?shù)姆较?。舉例說明明，srcc 22 ，指明明ip包中中源地址是是 22 ， ddst nnet 2202.00.0.00 指明目目的網(wǎng)絡(luò)地地址是200。如果沒有有指明 方方向關(guān)鍵字字，則缺省省是srcc or dst關(guān)關(guān)鍵字。第三種是協(xié)協(xié)議的關(guān)鍵鍵字，主要要包括fddd

32、i，iip，arrp，raarp，ttcp，uudp等類類型。Fdddi指明明是在FDDDI (分布式光光纖數(shù)據(jù)接接口網(wǎng)絡(luò))上的特定定的網(wǎng)絡(luò)協(xié)協(xié)議，實際際上它是”etheer”的別別名，fdddi和eetherr 具有類類似的源地地址和目的的地址，所所以可以將將fddii協(xié)議包當當作ethher的包包進行處理理和分析。 其他的的幾個關(guān)鍵鍵字就是指指明了監(jiān)聽聽的包的協(xié)協(xié)議內(nèi)容。如果沒有有指定任何何協(xié)議，則則tcpddump 將會 監(jiān)監(jiān)聽所有協(xié)協(xié)議的信息息包。除了這三種種類型的關(guān)關(guān)鍵字之外外，其他重重要的關(guān)鍵鍵字如下：gateeway， broaadcasst，leess， greaater， 還

33、有三種種邏輯運算算，取非運運算是 not ! ， 與運算是是andd，&;或或運算是or ，； 這些關(guān)關(guān)鍵字可以以組合起來來構(gòu)成強大大的組合條條件來滿足足人們的需需要。四、輸出結(jié)結(jié)果介紹下面我們介介紹幾種典典型的tccpdummp命令的的輸出信息息 (1) 數(shù)數(shù)據(jù)鏈路層層頭信息使用命令： #tcpddump -e hostt ICEEICE 是是一臺裝有有l(wèi)inuux的主機機。它的MMAC地址址是0：990：277：58：AF：11A H2219是一一臺裝有SSolarris的SSUN工作作站。它的的MAC地地址是8：0：200：79：5B：446； 上上一條命令令的輸出結(jié)結(jié)果如下所所示：引用

34、21:500:12.8475509 eeth0 IICE. telnne t 0:0(0) aack 2225355 winn 87660 (DDF)21：500：12是是顯示的時時間， 88475009是IDD號，etth0 表示從網(wǎng)網(wǎng)絡(luò)接口設(shè)設(shè)備發(fā)送分分組， 88:0:220:799:5b:46是主主機H2119的MAAC地址， 它表明是是從源地址址H2199發(fā)來的分分組. 00:90:27:558:aff:1a是是主機ICCE的MAAC地址， 表示該分分組的目的的地址是IICE。 ip 是是表明該分分組是IPP分組，660 是分分組的長度度， h2219.3333577 IICE. te

35、lnnet 表表明該分組組是從主機機H2199的333357端口口發(fā)往主機機ICE的的 TELLNET(23)端端口。 aack 2225355 表明對對序列號是是2225535的包包進行響應(yīng)應(yīng)。 wiin 87760表明明發(fā) 送窗窗口的大小小是87660。(2) AARP包的的tcpddump輸輸出信息使用命令： #tcpddump arp得到的輸出出結(jié)果是：引用22:322:42.8025509 eeth0 arrp whho-haas rooute telll ICEE (0:90:227:588:af:1a)22:322:42.8029902 eeth0 表明明從主機發(fā)發(fā)出該分組組，a

36、rpp表明是AARP請求求包， wwho-hhas rroutee telll ICCE表明是是主機ICCE請求主主機rouute的MMAC地址址。 0:90:227:588:af:1a是主主機 ICCE的MAAC地址。(3) TTCP包的的輸出信息息用tcpddump捕捕獲的TCCP包的一一般輸出信信息是： 引用src dstt: fllags dataa-seqqno aack wwindoow urrgentt opttionsssrc dstt:表明從從源地址到到目的地址址， fllags是是TCP報報文中的標標志信息，SS 是SYYN標志， F (FFIN)， P (PPUSH) ， RR (RSST) . (沒有標記記); ddata-seqnno是報文文中的數(shù)據(jù)據(jù) 的順序序號， aack是下下次期望的的順序號， winddow是接接收緩存的的窗口大小小， urrgentt表明 報報文中是否否有緊急指指