正经夜光杯

这个屌丝很懒，什么也没留下！

热门标签

Linux 操作系统等保测评二级合规基线整改项 - 安全审计篇_linux 安全整改操作指引

作者：正经夜光杯 | 2024-07-31 09:10:31

踩

linux 安全整改操作指引

文章目录

前言
一、等保要求
- 安全审计
二、修复内容
三、修复步骤
总结
系列文章目录

前言

根据 Linux 操作系统的等保测评二级合规基线要求，确保系统具备安全审计功能，对系统中的重要事件和操作进行记录和审计，以便后续的安全分析和追溯。

一、等保要求

安全审计

应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计
应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等

二、修复内容

1. 启用审计功能：

配置 Linux 操作系统的审计功能，记录系统中的重要事件，如登录、文件访问、进程活动等。可以通过修改 /etc/audit/audit.rules 文件来配置审计规则。

2. 配置审计策略：

根据业务需求和安全要求，制定合理的审计策略。确定需要审计的事件类型、对象和操作，并设置相应的审计规则。

3. 定期审计日志：

定期查看和分析审计日志，及时发现异常行为和潜在的安全威胁。可以使用审计工具或脚本自动化审计日志的分析和报告。

4. 保护审计日志：

确保审计日志的安全性，防止未经授权的访问、修改或删除。可以设置日志文件的权限、加密存储或定期备份审计日志。
编辑文件 /etc/audit/audit.rules，设置需要审计的事件类型和对象。例如，可以添加以下规则来审计登录事件：

5. 审计告警和响应：

配置实时审计告警功能，及时通知安全管理员有关重要事件的发生。建立相应的响应机制，对审计告警进行及时处理和调查。

三、修复步骤

1、启用auditd服务
2、启用rsyslog或syslog-ng服务
3、确保收集用户的文件删除事件
4、确保收集对系统管理范围（sudoers）的更改
5、确保收集修改用户/组信息的事件如使用了第三方日志收集服务，可自行举证并忽略此项。

下面是各整改内容的具体步骤：

1. 启用审计功能：

执行service auditd status命令查看auditd服务状态

service auditd status
1

如果是没启动则执行service auditd start命令启用auditd服务：

service auditd start
1

2. 配置审计策略：

确定需要审计的事件类型，如登录、文件访问、进程活动等。
制定审计规则，例如，限制特定用户对敏感文件的访问。
配置审计策略的规则，例如，设置审计日志的保留时间。

1、编辑文件 /etc/audit/audit.rules，设置需要审计的事件类型和对象。例如，可以添加以下规则来审计登录事件：

vim /etc/audit/audit.rules

-a always,postdrop /var/log/audit/audit.log
-w /var/log/lastlog
-w /var/run/utmp
1
2
3
4
5

2、将以下行添加到/etc/audit/rules.d/audit.rules和/etc/audit/audit.rules
文件中：

-a always,exit -F arch=b64 -S unlink -S unlinkat -S rename -S renameat -F auid>=1000 -F auid!=4294967295 -k delete
-a always,exit -F arch=b32 -S unlink -S unlinkat -S rename -S renameat -F auid>=1000 -F auid!=4294967295 -k delete
1
2

这两个规则的作用是限制只有 root 用户或具有特定权限的用户才能删除文件。

规则	意思
-a always,exit	任何情况下（always），当进程退出（exit）时触发该规则
-F arch=b32	指定规则适用于 32 位架构（b32）的系统。
-S unlink	表示规则适用于文件删除操作（unlink）。
-S unlinkat	表示规则适用于通过unlinkat()系统调用进行的文件删除操作。
-S rename	表示规则适用于文件重命名操作（rename）。
-S renameat	表示规则适用于通过renameat()系统调用进行的文件重命名操作。
-F auid>=1000	表示规则适用于进程的有效用户 ID（auid）大于或等于 1000 的情况。这里的 1000 是一个示例值，你可以根据实际需要进行调整。
-F auid!=4294967295	表示规则不适用于进程的有效用户 ID 等于 4294967295 的情况。4294967295 是 Unix 系统中的 root 用户 ID。
-k delete	表示拒绝删除操作。如果规则匹配成功，系统将拒绝执行删除操作，并记录相应的日志信息。

3、将以下行添加到/etc/audit/rules.d/audit.rules和/etc/audit/audit.rules 文件中：

-w /etc/group -p wa -k identity
-w /etc/passwd -p wa -k identity
-w /etc/gshadow -p wa -k identity
-w /etc/shadow -p wa -k identity
-w /etc/security/opasswd -p wa -k identity
1
2
3
4
5

4、将以下行添加到/etc/audit/rules.d/audit.rules和/etc/audit/audit.rules
文件中：

-w /etc/sudoers -p wa -k scope
-w /etc/sudoers.d/ -p wa -k scope
1
2

5、重启审计服务：

sudo service auditd restart
1

3. 定期审计日志：

制定审计日志的定期查看和分析计划。
使用审计工具或脚本，自动化审计日志的分析和报告。
及时发现异常行为和潜在的安全威胁，并采取相应的措施。

执行命令service rsyslog start 启用rsyslog服务；

service rsyslog start
1

4. 保护审计日志：

设置日志文件的权限，限制对审计日志的访问。
加密存储审计日志，以防止未经授权的访问。
定期备份审计日志，以防止日志丢失。

可通过日志文件分隔备份或者远程服务器日志备份来实现，以下两种方式之一修复加
固：
1、编辑/etc/audit/auditd.conf，添加或编辑以下配置内容：

## log_format定义了log日志的储存方式
`log_format = RAW`
## log file的文件数量，设为5-10之间
`num_logs = 5`
## max_log_file定义单个日志文件最大size，单位MB，设为5-50

max_log_file = 8
max_log_file_action = ROTATE
disk_full_action = SUSPEND
1
2
3
4
5
6
7
8
9

2、编辑/etc/rsyslog.conf文件添加以下行（logfile.example.com是日志主机的名称）：

*.* @@loghost.example.com
1

执行以下命令重启rsyslog：

pkill -HUP rsyslogd
1

5. 审计告警和响应：

配置实时审计告警功能，例如，使用 syslog 或其他监控工具来接收告警信息。
建立相应的响应机制，例如，安全管理员应及时处理审计告警并进行调查。

总结

通过以上整改措施，可以满足 Linux 操作系统等保测评二级合规基线关于安全审计的要求。启用审计功能、配置审计策略、定期审计日志、保护审计日志以及建立审计告警和响应机制，将有助于提高系统的安全性和合规性。

系列文章目录

Windows 操作系统等保测评二级合规基线整改项-身份鉴别篇
 Windows 操作系统等保测评二级合规基线整改项-安全审计篇
 Windows 操作系统等保测评二级合规基线整改项-访问控制篇
Linux 操作系统等保测评二级合规基线整改项 - 安全审计篇
Linux 操作系统等保测评二级合规基线整改项 - 访问控制篇（敬请期待）
Linux 操作系统等保测评二级合规基线整改项 - 入侵防范篇（敬请期待）
Linux 操作系统等保测评二级合规基线整改项 - 身份鉴别篇（敬请期待）

声明：本文内容由网友自发贡献，不代表【wpsshop博客】立场，版权归原作者所有，本站不承担相应法律责任。如您发现有侵权的内容，请联系我们。转载请注明出处：https://www.wpsshop.cn/w/正经夜光杯/article/detail/908063