服务器等保测评日志策略

已于 2025-01-06 15:49:03 修改
阅读量324 收藏 4
点赞数 5
分类专栏: 云资源过等保 文章标签: 服务器 mysql 运维
于 2025-01-06 14:29:07 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_43258559/article/details/144962989
版权

服务器等保测评日志策略

常见日志文件及其记录内容

日志保留位置配置文件 /etc/rsyslog.conf
在这里插入图片描述

/var/log/message 系统启动后的信息和错误日志,是Red Hat Linux中最常用的日志之一 

/var/log/secure 与安全相关的日志信息 

/var/log/maillog 与邮件相关的日志信息 

/var/log/cron 与定时任务相关的日志信息 

/var/log/spooler 与UUCP和news设备相关的日志信息 

/var/log/boot.log 守护进程启动和停止相关的日志消息

/var/log/secure

记录与系统安全相关的事件,包括:

  • 用户登录和注销
  • SSH 登录尝试
  • 身份验证失败
  • 提权操作(如 sudo)

具体日志内容:

  • 日期和时间:记录事件发生的时间。
  • 用户:涉及的用户名或进程。
  • 事件类型:如登录、提权、认证失败等。
  • 事件是否成功:会显示成功与否的信息。

例如:

Jan  6 15:34:12 localhost sshd[1234]: Accepted password for user1 from 192.168.1.100 port 22 ssh2
Jan  6 15:36:45 localhost sudo: user1 : TTY=pts/1 ; PWD=/home/user1 ; COMMAND=/bin/ls
Jan  6 15:37:10 localhost sshd[1235]: Failed password for invalid user admin from 192.168.1.101 port 22 ssh2

/var/log/audit/audit.log

由 auditd 守护进程生成,记录细粒度的安全事件,包括:

  • 文件访问(如读写操作)
  • 系统调用(如 chmod、chown 等)
  • SELinux 相关事件

具体日志内容:

  • 日期和时间:事件的精确时间。
  • 用户:UID 和用户名。
  • 事件类型:系统调用、文件操作等。
  • 事件是否成功:success=yes 或 success=no。

例如:

type=USER_AUTH msg=audit(1673001240.254:155): pid=987 uid=0 auid=4294967295 ses=4294967295 msg='op=PAM:authentication acct="root" exe="/usr/sbin/sshd" hostname=192.168.1.100 addr=192.168.1.100 terminal=ssh res=success'
type=SYSCALL msg=audit(1673001241.254:156): arch=c000003e syscall=59 success=yes exit=0 a0=123456 a1=7890 a2=0 items=2 ppid=123 pid=456 auid=1000 uid=1000 gid=1000 euid=1000 suid=1000 fsuid=1000 tty=pts0 ses=1 comm="ls" exe="/usr/bin/ls"

/var/log/messages

记录常规系统信息和错误,包括:

  • 服务启动、停止的日志
  • 内核警告
  • 一些非安全相关的日志
Jan  6 15:40:21 localhost systemd: Started Session 1 of user root.
Jan  6 15:42:31 localhost kernel: Firewall: IN=eth0 OUT= MAC=... SRC=192.168.1.101 DST=192.168.1.100 LEN=60 ...

如何查看日志

使用 cat 或 less 查看日志

cat /var/log/secure
less /var/log/secure

使用 grep 筛选特定信息

筛选特定日期的日志

grep "Jan 6" /var/log/secure

查看 SSH 登录失败记录

grep "Failed password" /var/log/secure

使用 journalctl 查看日志

journalctl 可以查看基于 systemd 的日志:

journalctl -u sshd  # 查看 SSH 服务日志
journalctl -p err   # 查看错误级别的日志
journalctl -o short-iso  # 按 ISO 时间格式显示日志

使用 ausearch 查看审计日志

针对 /var/log/audit/audit.log,可以使用 ausearch

ausearch -ua <user_id>

查询特定事件类型

ausearch -m USER_AUTH

示例场景

查看所有 SSH 登录失败的记录

grep "Failed password" /var/log/secure

查看某用户的审计日志

ausearch -ua $(id -u username)

生成审计报告

aureport -au  # 查看用户认证事件报告

操作系统日志保留期限

通常由/etc/logrotate.d/syslog 进行管理

cat /etc/logrotate.d/syslog

在这里插入图片描述

脚本生成所有登录用户的操作历史Linux 查看登录日志
的博客
10-02 1380
在linux系统的环境下,不管是root用户还是其它的用户只有登陆系统后用进入操作我们都可以通过命令history来查看历史记录,可是假如一台服务器多人登陆,一天因为某人误操作了删除了重要的数据。这时候通过查看历史记录(命令:history)是没有什么意义了(因为history只针对登录用户下执行有效,即使root用户也无法得到其它用户histotry历史)。那有没有什么办法实现通过记录登陆后的I...
等保测评(widow服务器
weixin_62380574的博客
03-17 8138
一、身份鉴别(安全通用要求) a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换。 测评方法: 1、核查用户是否需要输入用户名和密码才能登陆 2、核查widow的默认用户名是否具有唯一性 3、本地安全策略(secpol.msc)---->账户策略---->密码策略,核查密码策略设置是否合理 预期结果: b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施。 测评方法: 1、.
linux日志文件在哪个目录?
m0_49190412的博客
11-27 3864
/var/log/message 系统启动后的信息和错误日志,是Red Hat Linux中最常用的日志之一 /var/log/secure 与安全相关的日志信息 /var/log/maillog 与邮件相关的日志信息 /var/log/cron 与定时任务相关的日志信息 /var/log/spooler 与UUCP和news设备相关的日志信息 /var/log/boot.log 守护进程启动和停止相关的日志消息 /var/log/mysqld.log MySQL服务器日志文件 ...
Linux用户登录记录日志和相关查看命令汇总
Poirot的博客
08-08 2010
出处http://www.cnblogs.com/lizhaoxian/p/5981029.html # 1 utmp、wtmp、btmp文件 Linux用户登录信息放在三个文件中: 1  /var/run/utmp:记录当前正在登录系统的用户信息,默认由who和w记录当前登录用户的信息,uptime记录系统启动时间; 2  /var/log/wtmp:记录当前正在登录和历
Linux 查看登录日志
xiedaimaihencai的博客
06-20 4585
Linux查看/var/log/wtmp文件查看可疑IP登陆该日志文件永久记录每个用户登录、注销及系统的启动、停机的事件。因此随着系统正常运行时间的增加,该文件的大小也会越来越大,增加的速度取决于系统用户登录的次数。该日志文件可以用来查看用户的登录记录,last命令就通过访问这个文件获得这些信息,并以反序从后向前显示用户的登录记录,last也能根据用户、终端tty或时间显示相应的记录。查看/var/log/secure文件寻找可疑IP登陆次数。
Linux - 查看用户登录记录
weixin_30477293的博客
05-11 2832
有关用户登录的信息记录在 utmp(/var/run/utmp)、wtmp(/var/log/wtmp)、btmp(/var/log/btmp) 和 lastlog(/var/log/lastlog) 等文件中。 who、w 和 users 等命令通过 utmp(/var/run/utmp) 文件查询当前登录用户的信息。last 和 ac 命令通过 wtmp(/var/log/wtmp) 文件查...
等保测评linux和win主机整改建议
09-19
等保测评中Linux和Windows主机整改建议是针对信息安全等级保护测评中发现的主机安全问题提出的改进措施。整改的主要目的是提升系统的...整改措施的实施能够显著提升服务器的安全水平,同时满足等保测评70分的目标要求。
等保测评服务器——Windows server
m0_63121194的博客
08-29 1867
Windows Server 2008 2R(9大测评项目)
等保测评win测评手册
最新发布
09-19
等保测评,即信息安全等级保护测评,是根据国家相关法律法规和技术标准,对信息系统的安全保护状况进行评估的过程。在测评过程中,针对Windows操作系统的服务器,有一系列的操作和命令需要执行来确保系统符合等级...
centOS7等保三级
09-02
CentOS 7等保三级,即信息安全等级保护三级...为了达到等保三级的要求,CentOS 7系统管理员必须对系统进行细致的安全配置,涵盖身份鉴别、账户管理、密码策略日志安全、登录失败处理等方面,确保系统和数据的安全性。
linux记录登录用户的详细操作
03-30
本文档使用了两种方法来记录liunx登录用户的详细操作,综合了使用scripts 以及脚本的方法,很实用,已在实际环境中使用!
linux 查看日志
txjs
01-11 4903
第一种:查看实时变化的日志(比较吃内存) 最常用的: tail -f filename  (默认最后10行,相当于增加参数 -n 10) Ctrl+c 是退出tail命令 其他情况: tail -n 20 filename  (显示filename最后20行) tail -n +5 filename  (从第5行开始显示文件) 第二种:搜索关键字附近的日志 最常用的: cat -n filename |grep “关键字” 其他情况: cat filename | grep -C 5 ‘关键字’   (显
Linux查看系统日志
热门推荐
u014644574的博客
12-06 2万+
系统所有的日志都在 /var/log 下面 1、Linux日志文件说明 /var/log/message 系统启动后的信息和错误日志,是Red Hat Linux中最常用的日志之一 /var/log/secure 与安全相关的日志信息 /var/log/maillog 与邮件相关的日志信息 /var/log/cron 与定时任务相关的日志信息 /var/log/spooler 与UUCP和news设备相关的日志信息 /var/log/boot.log 守护进程启动和停止相关的日志消息 /var/log/
linux 查看系统日志
在森林里麋了鹿
11-24 2963
Linux 查看系统日志
linux查看系统日志
翱翔-蓝天
02-16 1274
每种方法都适合不同的场景和需求。例如,如果你只是想快速查看日志文件的最后几行,命令可能是最好的选择。如果你需要进行复杂的文本搜索或分析,可能需要使用。
Linux 查看系统日志命令
Charge8的博客
01-11 1万+
Linux 系统中有很多重要的日志文件,这些文件可以保存很多访问 Linux的日志记录,这些日志大多存放在/var/log目录下和/run目录下,但是这些日志中,有些并不能使用cat,vi,more等命令打开,而是需要用到一些特殊的命令,这里简单做介绍。 Linux 日志文件说明 /var/log/message 系统启动后的信息和错误日志,是Red Hat Linux中最常...
linux系统日志查看
u013761527的博客
05-15 1万+
【代码】linux系统日志查看。
Linux用户登录记录日志和相关查看命令
NSD1907的博客
03-29 1万+
Linux用户登录记录日志和相关查看命令 Linux用户登录信息放在三个文件中: 1  /var/run/utmp:记录当前正在登录系统的用户信息,默认由who和w记录当前登录用户的信息,uptime记录系统启动时间; [root@root log]# cat /var/run/utmp 2  /var/log/wtmp:记录当前正在登录和历史登录系统的用户信息,默认由last命令查看; [root@root log]# last -n 5/var/log/wtmp 3  /var/log/btmp:记
Linux系统查看系统日志教程
wade1010的专栏
04-25 2050
Linux系统在运行的程序通常会把一些系统消息和错误消息写入对应的系统日志中,若是一旦出现问题,用户就可以通过查看日志来迅速定位,及时解决故障,所以学会查看日志文件也是在日常维护中很重要的操作。这种日志数据用于记录Linux操作系统用户登录及退出系统的相关信息,包括用户名、登录的终端、登录时间、来源主机、正在使用的进程操作等。w命令用于显示当前系统中的每个用户及其所运行的进程信息,比users、who命令的输出内容要丰富一些。路径8:/var/log/btmp:记录失败的、错误的登录尝试及验证事件。
全面介绍等保测评2.0下的操作系统安全基线
等保测评2.0操作系统安全基线是指根据中国《信息安全技术网络安全等级保护基本要求》(GB/T 22239-2019)第二版的标准,对各类操作系统在进行等保测评时所需满足的安全要求基线。等保测评即信息安全等级保护测评,是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值