第9章-安全審計與評估

1、第九章 安全審計與評估,安全審計概述,審計就是記錄用戶使用計算機網絡系統(tǒng)進行所有活動的過程。記錄的信息通常是存放在日志文件中的。 審計是事故處理重要依據(jù)，為網絡犯罪行為和泄密行為提供證據(jù)。,日志介紹,不易讀懂 數(shù)據(jù)量大 不易獲取 關聯(lián)困難,Windows 系統(tǒng)日志管理,日志位置 %systemroot%system32config 默認 安全日志：SecEvent.EVT 系統(tǒng)日志：SysEvent.EVT 應用程序：AppEvent.EVT 安裝特殊應用程序也會產生日志：如DNS、AD等,事件查看器2-1,事件查看器用來查看計算機中產生的日志 打開“事件查看器”的方法： %SystemRoo

2、t%system32eventvwr.msc /s 3種類別的日志 應用程序日志 由應用程序或系統(tǒng)程序記錄的事件 安全日志 記錄諸如有效和無效的登錄嘗試等事件，以及記錄與資源使用相關的事件 系統(tǒng)日志 Windows系統(tǒng)組件記錄的事件,事件查看器2-2,錯誤：重要的問題，如數(shù)據(jù)丟失或功能喪失,警告：雖然不一定很重要，但是將來有可能導致問題的事件,信息：描述了應用程序、驅動程序或服務的成功操作的事件,安全性日志,審核成功：審核成功的行為，如登錄或者訪問資源成功,審核失敗：審核失敗的行為，如登錄或者訪問資源失敗,事件查看器的使用,清除所有事件,保存日志文件,查看另一臺計算機的日志,篩選日志:例如右擊

3、【系統(tǒng)】|【屬性】|【篩選器】,日志分析及管理,日志的功能 用于記錄系統(tǒng)、程序運行中發(fā)生的各種事件 通過閱讀日志，有助于診斷和解決系統(tǒng)故障 日志文件的分類 內核及系統(tǒng)日志 由系統(tǒng)服務syslog統(tǒng)一進行管理，日志格式基本相似 用戶日志 記錄系統(tǒng)用戶登錄及退出系統(tǒng)的相關信息 程序日志 由各種應用程序獨立管理的日志文件，記錄格式不統(tǒng)一,日志分析及管理,日志保存位置 默認位于：/var/log 目錄下 主要日志文件介紹 內核及公共消息日志：/var/log/messages 計劃任務日志：/var/log/cron 系統(tǒng)引導日志：/var/log/dmesg 郵件系統(tǒng)日志：/var/log/mail

4、log 用戶登錄日志：/var/log/lastlog、/var/log/secure、/var/log/wtmp、/var/run/utmp ,內核及系統(tǒng)日志,由系統(tǒng)服務 syslogd 統(tǒng)一管理 軟件包：sysklogd-1.4.1-39.2 主要程序：/sbin/klogd、/sbin/syslogd 配置文件：/etc/syslog.conf,rootlocalhost # grep -v # /etc/syslog.conf | grep -v $ *.info;mail.none;authpriv.none;cron.none/var/log/messages authpriv.*

5、/var/log/secure mail.*-/var/log/maillog cron.*/var/log/cron ,設備類別.日志級別,消息發(fā)送位置,內核及系統(tǒng)日志,日志消息的級別 0 EMERG（緊急）：會導致主機系統(tǒng)不可用的情況 1 ALERT（警告）：必須馬上采取措施解決的問題 2 CRIT（嚴重）：比較嚴重的情況 3 ERR（錯誤）：運行出現(xiàn)錯誤 4 WARNING（提醒）：可能會影響系統(tǒng)功能的事件 5 NOTICE（注意）：不會影響系統(tǒng)但值得注意 6 INFO（信息）：一般信息 7 DEBUG（調試）：程序或系統(tǒng)調試信息等,數(shù)字越小，表示優(yōu)先級越高、問題越嚴重,rootloca

6、lhost # tail -5 /var/log/messages Sep 14 11:22:44 localhost kernel: sdb: cache data unavailable Sep 14 11:22:44 localhost kernel: sdb: assuming drive cache: write through Sep 14 11:22:44 localhost kernel: sdb: sdb1 Sep 14 11:23:37 localhost kernel: VFS: Cant find ext3 filesystem on dev sdb1. Sep 14

7、16:54:48 localhost NetworkManager: starting.,內核及系統(tǒng)日志,日志記錄的一般格式,用戶日志分析,保存了用戶登錄、退出系統(tǒng)等相關信息 /var/log/lastlog：最近的用戶登錄事件 /var/log/wtmp：用戶登錄、注銷及系統(tǒng)開、關機事件 /var/run/utmp：當前登錄的每個用戶的詳細信息 /var/log/secure：與用戶驗證相關的安全性事件 分析工具 who、w、user、last、ac,程序日志分析,由相應的應用程序獨立進行管理 Web服務：/var/log/httpd/ access_log、error_log 代理服務：/

8、var/log/squid/ access.log、cache.log、squid.out、store.log FTP服務：/var/log/xferlog 分析工具 文本查看、grep過濾檢索、Webmin管理套件中查看 awk、sed等文本過濾、格式化編輯工具 Webalizer、Awstats等專用日志分析工具,日志管理策略,及時作好備份和歸檔 延長日志保存期限 控制日志訪問權限 日志中可能會包含各類敏感信息，如賬戶、口令等 集中管理日志 便于日志信息的統(tǒng)一收集、整理和分析 杜絕日志信息的意外丟失、惡意篡改或刪除,日志管理策略,應用示例： 調整syslogd服務設置，建立集中管理的日志服務器 將客戶機B中crond服務產生的日志消息，自動發(fā)送到服務器A的/var/log/cro