使用安全审计加强 Linux 主机的安全维护能力1.1 场景描述1.1.1 学习目的学生通过该能力模块的学习,能够独立完成和熟练把握实现主机安全审计的能力。1.1.2 学习要求明白得:审计对主机安全的重要性。把握:使用 psacct 程序所提供的命令对主机进行审计。1.1.3 学习重点和难点1.学习重点ac 命令.sa 命令2.学习难点psacct 程序1.2 知识预备1.2.1 psacct 程序安全配置审计工具是一款用户对各类系统、设备做安全配置检查的自动化工具,能够智能化识别各类安全设置,分析安全状态,并能够给出多种配置审计分析报告,目前差不多支持多种操作系统及网络设备。RedHat Linux 系统中的 psacct 程序能够依照安全需求进行修改。另外,利用系统工具对各类账号的操作权限做限制,能够有效保证用户无法超越其账号权限的操作,确保系统安全。RedHat Linux 系 统 中 的 psacct 程 序 提 供 了 几 个 进 程 活 动 监 视 工 具 :ac、lastcomm、accton 和 sa。ac——命令显示用户连接时刻的统计.lastcomm——命令显示系统执行的命令.accton——命令用于打开或关闭进程记帐功能.sa——命令统计系统进程记帐的情形.1.3 本卷须知在使用 psacct 程序进行审计时,需要查看其是否安装,假如没有安装要手动进行安装。1.4 操作步骤1.4.1 启动 psacct 服务默认情形下,RedHat Linux 系统默认安装了 psacct 程序,只需要系统中启动psacct 服务,先用 chkconfig 命令查看 psacct 服务状态,如下所示:[root@lab2 ~]# chkconfig --list psacctpsacct 0:关闭 1:关闭 2:关闭 3:关闭 4:关闭 5:关闭 6:关闭使用命令 chkconfig 命令启用默认启动,并使用命令 /etc/init.d/psacct start 命令来启动 psacct 服务,如下所示。[root@lab2 ~]# chkconfig psacct on[root@lab2 ~]# /etc/init.d/psacct start开启进程记帐: [ 确定 ][root@lab2 ~]#1.4.2 对网络行为进行审计第一步:显示用户连线时刻的统计信息能够依照登陆数/退出数在屏幕上打印出用户的连线时刻(单位为小时)。总计时刻也能够打印出来,假如你执行没有任何参数的 ac 命令, 屏幕将会显示总计的连线时刻。[root@lab2 ~]# ac total 102.27显示每一天的连线统计时刻:[root@lab2 ~]# ac -dJan 12 total 23.86Jan 13 total 1.17Jan 14 total 13.11Jan 15 total 6.79Jan 26 total 46.37Today total...
