//查询时间戳,找到最远记录
//https://tool.lu/timestamp/(时间戳查询器)
b) 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;
1、应核查审计记录信息是否包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息 。(tail -20/var/log/audit/audit.log(查看最近20行日志);
(tail -20/var/log/audit/audit.log)
//审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果
type(消息类型),msg(时间、事件ID),syscall(系统调用类型),
success(此次syscall是否成功),exe(进程文件的执行路径) 。
c) 应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;
1、应核查是否采取了保护措施对审计记录进行保护;
(ls -l /var/log/audit)查看审计文件权限
(ls -l /var/log) 查看目录权限
//文件可以有读取权限,但不允许有写入权限 。
2、应核查是否采取技术措施对审计记录进行定期备份,并核查其备份策略 。
//询问管理员,查看相关配置 。
d) 应对审计进程进行保护,防止未经授权的中断 。
1、应测试验证通过非审计管理员的其他账户来中断审计进程,验证审计进程是否受到保护 。
(切换普通用户:service auditd stop停止守护进程)
//使用普通用户,结束审计进程失败
//部署了第三方审计工具, 可以实时记录审计日志, 管理员不可以对日志进行删除操作
四、入侵防范
a) 应遵循最小安装的原则,仅安装需要的组件和应用程序;
1、应核查是否遵循最小安装原则;
(yum list installed)
//询问管理员当前的安装包是否存在多余、无用的服务
2、应核查是否未安装非必要的组件和应用程序;
(cat /etc/redhat-release)
//查看系统版本
b) 应关闭不需要的系统服务、默认共享和高危端口;
1、应核查是否关闭了非必要的系统服务和默认共享;
(systemctl list-units --type=service --all)
//询问管理员是否存在多余服务
(关闭了shell、login、echo、talk、ntalk、sendmail服务 。)
2、应核查是否不存在非必要的高危端口 。
(netstat -ntlp或者netstat -anp)
//询问管理员是否存在多余端口
c) 应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制;
1、应核查配置文件或参数是否对终端接入范围进行限制 。
(more /etc/hosts.deny与more /etc/hosts.allow)
//查看文件中是否存在ALL:ALL(禁止所有连接)
//sshd:192.168.1.10/255.255.255.0(允许这个IP连接)
2、是否采用了从防火墙设置了对接入终端的限制;
(systemctl status firewalld)
//查看防火墙是否开启(Active: active (running)正在运行 )
(firewall-cmd --zone=public --list-rich-rules)
//查看防火墙是否有策略
rule family IP类型
source address IP地址
port port 端口号
protocol 协议
reject 限制
accept 接触限制
e) 应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞;
1、应通过漏洞扫描、渗透测试等方式核查是否不存在高风险漏洞;
//WEB的服务使用工具进行扫描
2、应核查是否在经过充分测试评估后及时修补漏洞 。
(more/var/log/secure | grep refused)
3、访谈补丁升级机制,查看补丁安装情况
(rpm -qa |grep patch)
//查看patch版本是多久,去官网核对 。
f) 应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警;
1、应访谈并核查是否有入侵检测的措施;
(more/var/log/secure | grep refused)
//查看入侵线索
(Find/-name-print)
//入侵检测软件
2、应核查在发生严重入侵事件时是否提供报警 。
//询问管理员,是否提供了入侵报警功能,如何报警 。
3、查看主机防火墙状态systemctl status firewalld
(systemctl status firewalld)
//查看防火墙是否开启(Active: active (running)正在运行 )
五、恶意代码防范
a)应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为,并将其有效阻断 。
1、应核查是否安装了防恶意代码软件或相应功能的软件,定期进行升级和更新防恶意代码库;
//询问管理员是否安装了防恶意代码软件或相应功能的软件,定期进行升级和更新防恶意代码库;
推荐阅读
- 退伍军人养老保险(退伍军人每月发1200元)
- 黑茶怎么选才是好茶?黑茶怎么保存?
- 哪有什么“亚洲货币战”?当前真正打响“亚洲货币保卫战”……
- 窦文涛|保姆看不起窦文涛,保姆说:你总吃青菜鸡蛋,还不如我
- 南外小升初面测开考 曹植《七步诗》、川航迫降等入题
- 金·卡戴珊|突如其来、曝出保罗偷情的卡戴珊被侃爷开口!保罗仅出场10次,迟迟没有回归
- 保湿|精华油什么牌子好 10款宝藏平价精华油盘点
- 特等奖硬笔书法作品(最美硬笔行书)
- 长春车险报价—长春摩托车那里能给保险?
- |“风里雪里!小综合等着你! ”