第9章-安全审计与评估

1、第九章 安全审计与评估,安全审计概述,审计就是记录用户使用计算机网络系统进行所有活动的过程。记录的信息通常是存放在日志文件中的。 审计是事故处理重要依据，为网络犯罪行为和泄密行为提供证据。,日志介绍,不易读懂 数据量大 不易获取 关联困难,Windows 系统日志管理,日志位置 %systemroot%system32config 默认 安全日志：SecEvent.EVT 系统日志：SysEvent.EVT 应用程序：AppEvent.EVT 安装特殊应用程序也会产生日志：如DNS、AD等,事件查看器2-1,事件查看器用来查看计算机中产生的日志 打开“事件查看器”的方法： %SystemRoo

2、t%system32eventvwr.msc /s 3种类别的日志 应用程序日志 由应用程序或系统程序记录的事件 安全日志 记录诸如有效和无效的登录尝试等事件，以及记录与资源使用相关的事件 系统日志 Windows系统组件记录的事件,事件查看器2-2,错误：重要的问题，如数据丢失或功能丧失,警告：虽然不一定很重要，但是将来有可能导致问题的事件,信息：描述了应用程序、驱动程序或服务的成功操作的事件,安全性日志,审核成功：审核成功的行为，如登录或者访问资源成功,审核失败：审核失败的行为，如登录或者访问资源失败,事件查看器的使用,清除所有事件,保存日志文件,查看另一台计算机的日志,筛选日志:例如右击

3、【系统】|【属性】|【筛选器】,日志分析及管理,日志的功能 用于记录系统、程序运行中发生的各种事件 通过阅读日志，有助于诊断和解决系统故障 日志文件的分类 内核及系统日志 由系统服务syslog统一进行管理，日志格式基本相似 用户日志 记录系统用户登录及退出系统的相关信息 程序日志 由各种应用程序独立管理的日志文件，记录格式不统一,日志分析及管理,日志保存位置 默认位于：/var/log 目录下 主要日志文件介绍 内核及公共消息日志：/var/log/messages 计划任务日志：/var/log/cron 系统引导日志：/var/log/dmesg 邮件系统日志：/var/log/mail

4、log 用户登录日志：/var/log/lastlog、/var/log/secure、/var/log/wtmp、/var/run/utmp ,内核及系统日志,由系统服务 syslogd 统一管理 软件包：sysklogd-1.4.1-39.2 主要程序：/sbin/klogd、/sbin/syslogd 配置文件：/etc/syslog.conf,rootlocalhost # grep -v # /etc/syslog.conf | grep -v $ *.info;mail.none;authpriv.none;cron.none/var/log/messages authpriv.*

5、/var/log/secure mail.*-/var/log/maillog cron.*/var/log/cron ,设备类别.日志级别,消息发送位置,内核及系统日志,日志消息的级别 0 EMERG（紧急）：会导致主机系统不可用的情况 1 ALERT（警告）：必须马上采取措施解决的问题 2 CRIT（严重）：比较严重的情况 3 ERR（错误）：运行出现错误 4 WARNING（提醒）：可能会影响系统功能的事件 5 NOTICE（注意）：不会影响系统但值得注意 6 INFO（信息）：一般信息 7 DEBUG（调试）：程序或系统调试信息等,数字越小，表示优先级越高、问题越严重,rootloca

6、lhost # tail -5 /var/log/messages Sep 14 11:22:44 localhost kernel: sdb: cache data unavailable Sep 14 11:22:44 localhost kernel: sdb: assuming drive cache: write through Sep 14 11:22:44 localhost kernel: sdb: sdb1 Sep 14 11:23:37 localhost kernel: VFS: Cant find ext3 filesystem on dev sdb1. Sep 14

7、16:54:48 localhost NetworkManager: starting.,内核及系统日志,日志记录的一般格式,用户日志分析,保存了用户登录、退出系统等相关信息 /var/log/lastlog：最近的用户登录事件 /var/log/wtmp：用户登录、注销及系统开、关机事件 /var/run/utmp：当前登录的每个用户的详细信息 /var/log/secure：与用户验证相关的安全性事件 分析工具 who、w、user、last、ac,程序日志分析,由相应的应用程序独立进行管理 Web服务：/var/log/httpd/ access_log、error_log 代理服务：/

8、var/log/squid/ access.log、cache.log、squid.out、store.log FTP服务：/var/log/xferlog 分析工具 文本查看、grep过滤检索、Webmin管理套件中查看 awk、sed等文本过滤、格式化编辑工具 Webalizer、Awstats等专用日志分析工具,日志管理策略,及时作好备份和归档 延长日志保存期限 控制日志访问权限 日志中可能会包含各类敏感信息，如账户、口令等 集中管理日志 便于日志信息的统一收集、整理和分析 杜绝日志信息的意外丢失、恶意篡改或删除,日志管理策略,应用示例： 调整syslogd服务设置，建立集中管理的日志服务器 将客户机B中crond服务产生的日志消息，自动发送到服务器A的/var/log/cro