M6-4使用安全审计加强Linux主机的安全维护能力VIP免费

M6-4使用安全审计加强Linux主机的安全维护能力1.1场景描述1.1.1学习目的学生通过该能力模块的学习,能够独立完成和熟练掌握实现主机安全审计的能力。1.1.2学习要求理解:审计对主机安全的重要性。掌握:使用psacct程序所提供的命令对主机进行审计。1.1.3学习重点和难点1.学习重点ac命令.sa命令2.学习难点psacct程序1.2知识准备1.2.1psacct程序安全配置审计工具是一款用户对各类系统、设备做安全配置检查的自动化工具，能够智能化识别各类安全设置，分析安全状态，并能够给出多种配置审计分析报告，目前已经支持多种操作系统及网络设备。RedHatLinux系统中的psacct程序可以根据安全需求进行修改。另外，利用系统工具对各类账号的操作权限做限制，能够有效保证用户无法超越其账号权限的操作，确保系统安全。RedHatLinux系统中的psacct程序提供了几个进程活动监视工具：ac、lastcomm、accton和sa。ac——命令显示用户连接时间的统计.lastcomm——命令显示系统执行的命令.accton——命令用于打开或关闭进程记帐功能.sa——命令统计系统进程记帐的情况.1.3注意事项在使用psacct程序进行审计时，需要查看其是否安装，如果没有安装要手动进行安装。1.4操作步骤1.4.1启动psacct服务默认情况下，RedHatLinux系统默认安装了psacct程序，只需要系统中启动psacct服务，先用chkconfig命令查看psacct服务状态，如下所示：[root@lab2~]#chkconfig--listpsacctpsacct0:关闭1:关闭2:关闭3:关闭4:关闭5:关闭6:关闭使用命令chkconfig命令启用默认启动，并使用命令/etc/init.d/psacctstart命令来启动psacct服务，如下所示。[root@lab2~]#chkconfigpsaccton[root@lab2~]#/etc/init.d/psacctstart开启进程记帐：[确定][root@lab2~]#1.4.2对网络行为进行审计第一步：显示用户连线时间的统计信息可以根据登陆数/退出数在屏幕上打印出用户的连线时间(单位为小时)。总计时间也可以打印出来，如果你执行没有任何参数的ac命令，屏幕将会显示总计的连线时间。[root@lab2~]#actotal102.27显示每一天的连线统计时间：[root@lab2~]#ac-dJan12total23.86Jan13total1.17Jan14total13.11Jan15total6.79Jan26total46.37Todaytotal10.97[root@lab2~]#显示每一个用户的总计连线时间和所有用户总计连线时间：[root@lab2~]#ac-puser19.31user27.62root85.36total102.29[root@lab2~]#第二步：查找用户过去执行的命令可以使用lastcomm命令打印出用户过去执行的命令.你也可以通过用户名,tty名或命令名来搜索以往执行的命令。比如显示user1用户过去执行的命令：[root@lab2~]#lastcommuser1bashuser1tty10.00secsWedJan2706:24iduser1tty10.00secsWedJan2706:24bashuser1tty10.00secsWedJan2706:24iduser1tty10.00secsWedJan2706:24bashuser1tty10.00secsWedJan2706:24iduser1tty10.00secsWedJan2706:24unicode_startuser1tty10.01secsWedJan2706:24setfontuser1tty10.04secsWedJan2706:24gzipuser1tty10.00secsWedJan2706:24loadkeysuser1tty10.00secsWedJan2706:24dumpkeysuser1tty10.00secsWedJan2706:24kbd_modeuser1tty10.00secsWedJan2706:24consoletypeuser1tty10.00secsWedJan2706:24bashuser1tty10.00secsWedJan2706:24consoletypeuser1tty10.00secsWedJan2706:24bashuser1tty10.00secsWedJan2706:24iduser1tty10.00secsWedJan2706:24grepuser1tty10.00secsWedJan2706:24bashuser1tty10.00secsWedJan2706:24grepuser1tty10.00secsWedJan2706:24bashuser1tty10.00secsWedJan2706:24egrepuser1tty10.00secsWedJan2706:24bashuser1tty10.00secsWedJan2706:24dircolorsuser1tty10.00secsWedJan2706:24bashuser1tty10.00secsWedJan2706:24hostnameuser1tty10.00secsWedJan2706:24bashuser1tty10.00secsWedJan2706:24iduser1tty10.00secsWedJan2706:24…………每一行信息都在屏幕上打印出来，以第一行输出项为例:lsuser1tty10.01secsTueJan1216:24分析:ls是进程的命令名user1是执行命令的用户名tty1终端名0.01secs--进程退出时间你可以通过执行下面的命令来搜索进程记帐日志，如下所示：[root@lab2~]#lastcommlslsr...