第9章-安全審計(jì)與評估

1、第九章 安全審計(jì)與評估,安全審計(jì)概述,審計(jì)就是記錄用戶使用計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)進(jìn)行所有活動的過程。記錄的信息通常是存放在日志文件中的。 審計(jì)是事故處理重要依據(jù)，為網(wǎng)絡(luò)犯罪行為和泄密行為提供證據(jù)。,日志介紹,不易讀懂 數(shù)據(jù)量大 不易獲取 關(guān)聯(lián)困難,Windows 系統(tǒng)日志管理,日志位置 %systemroot%system32config 默認(rèn) 安全日志：SecEvent.EVT 系統(tǒng)日志：SysEvent.EVT 應(yīng)用程序：AppEvent.EVT 安裝特殊應(yīng)用程序也會產(chǎn)生日志：如DNS、AD等,事件查看器2-1,事件查看器用來查看計(jì)算機(jī)中產(chǎn)生的日志 打開“事件查看器”的方法： %SystemRoo

2、t%system32eventvwr.msc /s 3種類別的日志 應(yīng)用程序日志 由應(yīng)用程序或系統(tǒng)程序記錄的事件 安全日志 記錄諸如有效和無效的登錄嘗試等事件，以及記錄與資源使用相關(guān)的事件 系統(tǒng)日志 Windows系統(tǒng)組件記錄的事件,事件查看器2-2,錯誤：重要的問題，如數(shù)據(jù)丟失或功能喪失,警告：雖然不一定很重要，但是將來有可能導(dǎo)致問題的事件,信息：描述了應(yīng)用程序、驅(qū)動程序或服務(wù)的成功操作的事件,安全性日志,審核成功：審核成功的行為，如登錄或者訪問資源成功,審核失?。簩徍耸〉男袨?，如登錄或者訪問資源失敗,事件查看器的使用,清除所有事件,保存日志文件,查看另一臺計(jì)算機(jī)的日志,篩選日志:例如右擊

3、【系統(tǒng)】|【屬性】|【篩選器】,日志分析及管理,日志的功能 用于記錄系統(tǒng)、程序運(yùn)行中發(fā)生的各種事件 通過閱讀日志，有助于診斷和解決系統(tǒng)故障 日志文件的分類 內(nèi)核及系統(tǒng)日志 由系統(tǒng)服務(wù)syslog統(tǒng)一進(jìn)行管理，日志格式基本相似 用戶日志 記錄系統(tǒng)用戶登錄及退出系統(tǒng)的相關(guān)信息 程序日志 由各種應(yīng)用程序獨(dú)立管理的日志文件，記錄格式不統(tǒng)一,日志分析及管理,日志保存位置 默認(rèn)位于：/var/log 目錄下 主要日志文件介紹 內(nèi)核及公共消息日志：/var/log/messages 計(jì)劃任務(wù)日志：/var/log/cron 系統(tǒng)引導(dǎo)日志：/var/log/dmesg 郵件系統(tǒng)日志：/var/log/mail

4、log 用戶登錄日志：/var/log/lastlog、/var/log/secure、/var/log/wtmp、/var/run/utmp ,內(nèi)核及系統(tǒng)日志,由系統(tǒng)服務(wù) syslogd 統(tǒng)一管理 軟件包：sysklogd-1.4.1-39.2 主要程序：/sbin/klogd、/sbin/syslogd 配置文件：/etc/syslog.conf,rootlocalhost # grep -v # /etc/syslog.conf | grep -v $ *.info;mail.none;authpriv.none;cron.none/var/log/messages authpriv.*

5、/var/log/secure mail.*-/var/log/maillog cron.*/var/log/cron ,設(shè)備類別.日志級別,消息發(fā)送位置,內(nèi)核及系統(tǒng)日志,日志消息的級別 0 EMERG（緊急）：會導(dǎo)致主機(jī)系統(tǒng)不可用的情況 1 ALERT（警告）：必須馬上采取措施解決的問題 2 CRIT（嚴(yán)重）：比較嚴(yán)重的情況 3 ERR（錯誤）：運(yùn)行出現(xiàn)錯誤 4 WARNING（提醒）：可能會影響系統(tǒng)功能的事件 5 NOTICE（注意）：不會影響系統(tǒng)但值得注意 6 INFO（信息）：一般信息 7 DEBUG（調(diào)試）：程序或系統(tǒng)調(diào)試信息等,數(shù)字越小，表示優(yōu)先級越高、問題越嚴(yán)重,rootloca

6、lhost # tail -5 /var/log/messages Sep 14 11:22:44 localhost kernel: sdb: cache data unavailable Sep 14 11:22:44 localhost kernel: sdb: assuming drive cache: write through Sep 14 11:22:44 localhost kernel: sdb: sdb1 Sep 14 11:23:37 localhost kernel: VFS: Cant find ext3 filesystem on dev sdb1. Sep 14

7、16:54:48 localhost NetworkManager: starting.,內(nèi)核及系統(tǒng)日志,日志記錄的一般格式,用戶日志分析,保存了用戶登錄、退出系統(tǒng)等相關(guān)信息 /var/log/lastlog：最近的用戶登錄事件 /var/log/wtmp：用戶登錄、注銷及系統(tǒng)開、關(guān)機(jī)事件 /var/run/utmp：當(dāng)前登錄的每個用戶的詳細(xì)信息 /var/log/secure：與用戶驗(yàn)證相關(guān)的安全性事件 分析工具 who、w、user、last、ac,程序日志分析,由相應(yīng)的應(yīng)用程序獨(dú)立進(jìn)行管理 Web服務(wù)：/var/log/httpd/ access_log、error_log 代理服務(wù)：/

8、var/log/squid/ access.log、cache.log、squid.out、store.log FTP服務(wù)：/var/log/xferlog 分析工具 文本查看、grep過濾檢索、Webmin管理套件中查看 awk、sed等文本過濾、格式化編輯工具 Webalizer、Awstats等專用日志分析工具,日志管理策略,及時作好備份和歸檔 延長日志保存期限 控制日志訪問權(quán)限 日志中可能會包含各類敏感信息，如賬戶、口令等 集中管理日志 便于日志信息的統(tǒng)一收集、整理和分析 杜絕日志信息的意外丟失、惡意篡改或刪除,日志管理策略,應(yīng)用示例： 調(diào)整syslogd服務(wù)設(shè)置，建立集中管理的日志服務(wù)器 將客戶機(jī)B中crond服務(wù)產(chǎn)生的日志消息，自動發(fā)送到服務(wù)器A的/var/log/cro