使用安全审计加强Linux主机的安全维护能力

1、M6-4 使用安全全审计加强强Linuux主机的的安全维护护能力1.1场景景描述1.1.11 学习目的的学生通过该该能力模块块的学习,能够独立立完成和熟熟练掌握实实现主机安安全审计的的能力。1.1.22 学习要要求理解:审计计对主机安安全的重要要性。掌握:使用用psaccct程序序所提供的的命令对主主机进行审审计。1.1.33 学习重重点和难点点1.学习重重点ac命令.sa命令2.学习难难点psaccct程序1.2 知知识准备1.2.11 psaacct程程序安全配置审审计工具是是一款用户户对各类系系统、设备备做安全配配置检查的的自动化工工具，能够够智能化识识别各类安安全设置，分分析安全状状态

2、，并能能够给出多多种配置审审计分析报报告，目前前已经支持持多种操作作系统及网网络设备。RedHaat Liinux系系统中的ppsaccct程序可可以根据安安全需求进进行修改。另外，利利用系统工工具对各类类账号的操操作权限做做限制，能能够有效保保证用户无无法超越其其账号权限限的操作，确确保系统安安全。RedHaat Liinux系系统中的ppsaccct程序提提供了几个个进程活动动监视工具具：ac、lasttcommm、acccton和和sa。ac命命令显示用用户连接时时间的统计计.lastccomm命令显显示系统执执行的命令令.acctoon命令用用于打开或或关闭进程程记帐功能能.sa命命令

3、统计系系统进程记记帐的情况况.1.3 注注意事项在使用pssacctt程序进行行审计时，需需要查看其其是否安装装，如果没没有安装要要手动进行行安装。1.4 操操作步骤1.4.11启动pssacctt服务默认情况下下，ReddHat Linuux系统默默认安装了了psaccct程序序，只需要要系统中启启动psaacct服服务，先用用chkcconfiig命令查查看psaacct服服务状态，如如下所示：roottlabb2 # chhkconnfig -liist ppsaccctpsaccct 00:关闭 1:关关闭 22:关闭 3:关关闭 44:关闭 5:关关闭 66:关闭使用命令cchkco

4、onfigg命令启用用默认启动动，并使用用命令/eetc/iinit.d/pssacctt staart命令令来启动ppsaccct服务，如如下所示。roottlabb2 # chhkconnfig psaccct oonroottlabb2 # /eetc/iinit.d/pssacctt staart开启进程记记帐： 确定定 roottlabb2 #1.4.22对网络行行为进行审审计第一步：显显示用户连连线时间的的统计信息息可以根据登登陆数/退退出数在屏屏幕上打印印出用户的的连线时间间(单位为为小时)。总计时间间也可以打打印出来，如如果你执行行没有任何何参数的aac命令， 屏幕将会会显示总

5、计计的连线时时间。roottlabb2 # acc ttotall 1002.277显示每一天天的连线统统计时间：roottlabb2 # acc -dJan 112 ttotall 223.866Jan 113 ttotall 1.177Jan 114 ttotall 113.111Jan 115 ttotall 6.799Jan 226 ttotall 446.377Todayy ttotall 110.977roottlabb2 #显示每一个个用户的总总计连线时时间和所有有用户总计计连线时间间：roottlabb2 # acc -p uuser11 9.311 uuser22 7.622

6、 rroot 885.366 ttotall 1002.299roottlabb2 #第二步：查查找用户过过去执行的的命令可以使用llastccomm命命令打印出出用户过去去执行的命命令. 你你也可以通通过用户名名, ttty名或命命令名来搜搜索以往执执行的命令令。比如显示uuser11用户过去去执行的命命令：roottlabb2 # laastcoomm uuser11bash userr1 ttyy1 0.000 seccs Weed Jaan 277 06:24id userr1 ttyy1 0.000 seccs Weed Jaan 277 06:24bash userr1 ttyy1

7、 0.000 seccs Weed Jaan 277 06:24id uuser11 tty11 00.00 secss Wedd Jann 27 06:224bash uuser11 tty11 00.00 secss Wedd Jann 27 06:224id uuser11 tty11 00.00 secss Wedd Jann 27 06:224unicoode_sstartt uuser11 tty11 00.01 secss Wedd Jann 27 06:224setfoont uuser11 tty11 00.04 secss Wedd Jann 27 06:224gzip u

8、user11 tty11 00.00 secss Wedd Jann 27 06:224loadkkeys uuser11 tty11 00.00 secss Wedd Jann 27 06:224dumpkkeys uuser11 tty11 00.00 secss Wedd Jann 27 06:224kbd_mmode uuser11 tty11 00.00 secss Wedd Jann 27 06:224consooletyype uuser11 tty11 00.00 secss Wedd Jann 27 06:224bash uuser11 tty11 00.00 secss W

9、edd Jann 27 06:224consooletyype uuser11 tty11 00.00 secss Wedd Jann 27 06:224bash uuser11 tty11 00.00 secss Wedd Jann 27 06:224id uuser11 tty11 00.00 secss Wedd Jann 27 06:224grep uuser11 tty11 00.00 secss Wedd Jann 27 06:224bash uuser11 tty11 00.00 secss Wedd Jann 27 06:224grep uuser11 tty11 00.00

10、secss Wedd Jann 27 06:224bash uuser11 tty11 00.00 secss Wedd Jann 27 06:224egrepp uuser11 tty11 00.00 secss Wedd Jann 27 06:224bash uuser11 tty11 00.00 secss Wedd Jann 27 06:224dircoolorss uuser11 tty11 00.00 secss Wedd Jann 27 06:224bash uuser11 tty11 00.00 secss Wedd Jann 27 06:224hostnname uuser1

11、1 tty11 00.00 secss Wedd Jann 27 06:224bash uuser11 tty11 00.00 secss Wedd Jann 27 06:224id uuser11 tty11 00.00 secss Wedd Jann 27 06:224每一行信息息都在屏幕幕上打印出出来，以第第一行输出出项为例:ls useer1 ttty1 0.001 seecs TTue JJan 112 166:24分析:ls是进程程的命令名名user11是执行命命令的用户户名tty1 终端名0.01 secss - 进程退出出时间你可以通过过执行下面面的命令来来搜索进程程记帐日志志

12、，如下所所示：roottlabb2 # laastcoomm llsls rroot pts/2 00.01 secss Wedd Jann 27 07:227ls rroot pts/2 00.01 secss Wedd Jann 27 07:226ls rroot pts/2 00.01 secss Wedd Jann 27 07:226ls rroot pts/2 00.01 secss Wedd Jann 27 07:118ls rroot pts/2 00.01 secss Wedd Jann 27 06:110ls rroot pts/0 00.01 secss Wedd Jann

13、 27 06:008ls uuser11 pts/0 00.02 secss Wedd Jann 27 06:005ls uuser11 pts/0 00.01 secss Wedd Jann 27 06:004ls rroot pts/2 00.01 secss Wedd Jann 27 05:552ls rroot pts/2 00.02 secss Wedd Jann 27 05:334ls rroot pts/0 00.01 secss Wedd Jann 27 05:332ls rroot pts/0 00.02 secss Wedd Jann 27 05:332ls rroot p

14、ts/0 00.02 secss Wedd Jann 27 05:332ls rroot pts/0 00.04 secss Wedd Jann 27 05:228第三步：统统计记帐信信息可以使用ssa命令打打印过去执执行命令的的统计信息息。另外，ssa命令保保存了一个个叫做saavaccct文件，文文件包含了了命令被调调用的次数数和资源使使用的次数数。而且ssa还提供供每一个用用户的统计计信息， 这些信息息保存在一一个叫做uusraccct的文文件当中。roottlabb2 # saa 55581 44065.23ree 88.81ccp 13386k 85 11894.22ree 77.6

15、3ccp 28872k *othher* 3 4.67ree 00.23ccp 24435k prrelinnk 3 65.75ree 00.13ccp 118812k gnnome-termminall 16 0.37ree 00.09ccp 12210k soort 4 0.32ree 00.08ccp 19911k rppmq 29 453.61ree 00.08ccp 15597k baash 2 44.73ree 00.05ccp 102242k pyythonn2 17 11.27ree 00.05ccp 26608k viim 8 0.17ree 00.05ccp 14426k

16、unniq 64 0.09ree 00.04ccp 14459k seed 3 168.03ree 00.04ccp 18894k ssshd 22774 0.25ree 00.02ccp 14406k ldd-linnux.sso.2 9 201.32ree 00.02ccp 7732k loogin 149 0.20ree 00.02ccp 12235k grrep 23 0.02ree 00.01ccp 6669k piidof 2 0.02ree 00.01ccp 10006k xkkbcommp 17 0.02ree 00.01ccp 13390k seetfonnt 2 0.33r

17、ee 00.01ccp 5500k reeadahhead 4 2.97ree 00.01ccp 9920k teelnettd 2 0.25ree 00.01ccp 15570k rcc 17 105.96ree 00.01ccp 15567k suu 44 14.52ree 00.01ccp 12217k vssftpdd* 3 0.13ree 00.01ccp 14458k iffup-ppost 9 6.33ree 00.01ccp 23337k seendmaail* 2 67.03ree 00.01ccp 78884k egggcupps 4 45.49ree 00.01ccp 3

18、4494k coonsollehellper-g以结果输出出的第一行行为例：5288 2.55ree 11.15ccp 14400k ldd-linnux.sso.2分析：2.55rre 实实际时间 单位为为分钟.1.15ccp系统和和用户时间间总数(CCPU时间间, 单位位为分钟)1400kk核心使用用所占的平平均CPUU时间, 一个单元元的大小为为1Kld-liinux.so.22命令名第四步：查查看占用CCPU可以使用ssa m命令，如如下所示：roottlabb2 # saa -m5584 44065.23ree 88.81ccp 13386kroot 50021 38827.002r

19、e 8.73cpp 14008kuser11 388 8.79ree 00.03ccp 10044kgdm 1 0.119re 0.03cpp 150998kuser22 1222 22.90rre 0.011cp 11087kknoboddy 27 8.00ree 00.01ccp 11197ksmmspp 5 12.661re 0.00cpp 18008ksshd 3 0.07ree 00.00ccp 15549kuser111 111 55.95rre 0.000cp 11218kkhtt 6 1999.700re 0.000cp 96355k可以通过查查看re、k、cpp/cpuu(见

20、上面面输出解释释)时间来来找出可疑疑的活动，或或某个用户户/命令占占用了所有有的CPUU时间。 如果CPPU/Meemeorry使用数数(命令)在不断增增加，可以以说明命令令存在问题题。1. 5 拓展知识识1.5.11 TCPPDUMPP详解tcpduump是一一个用于截截取网络分分组，并输输出分组内内容的工具具。tcppdumpp凭借强大大的功能和和灵活的截截取策略，使使其成为类类UNIXX系统下用用于网络分分析和问题题排查的首首选工具。tcpduump提供供了源代码码，公开了了接口，因因此具备很很强的可扩扩展性，对对于网络维维护和入侵侵者都是非非常有用的的工具。ttcpduump存在在于基

21、本的的Linuux系统中中，由于它它需要将网网络界面设设置为混杂杂模式，普普通用户不不能正常执执行，但具具备rooot权限的的用户可以以直接执行行它来获取取网络上的的信息。因因此系统中中存在网络络分析工具具主要不是是对本机安安全的威胁胁，而是对对网络上的的其他计算算机的安全全存在威胁胁。 一、概述顾顾名思义，ttcpduump可以以将网络中中传送的数数据包的“头”完全全截获下来来提供分析析。它支持持针对网络络层、协议议、主机、网络或端端口的过滤滤，并提供供and、or、nnot等逻逻辑语句来来帮助你去去掉无用的的信息。引用# tcppdumpp vvtcpduump: listteninng

22、onn ethh0, llink-typee EN110MB (Ethherneet), captture sizee 96 bytees11:533:21.4445591 IIP (ttos 00 x10, ttll 64, id 193224, ooffseet 0, flaags DF, prooto 66, leengthh: 922) assptesst.loocalddomaiin.sssh 44.18588: P 396221326600:3396211326552(522) acck 2772652259366 winn 12666aspteest.l

23、localldomaain.11077 1992.1668.2228.1553.doomainn: bbad uudp ccksumm 1666e! 325+ PTRR? 2444.2228.1668.1992.inn-adddr.arrpa. (46)11:533:21.4469929 IIP (ttos 00 x0, ttl 64, id 4429111, offfsett 0, flaggs DDF, protto 177, leengthh: 1551) 1192.1168.2228.1153.ddomaiin aspttest.locaaldommain.10777: 3225 NX

24、XDomaain qq: PTTR? 2244.2228.1168.1192.iin-adddr.aarpa. 0/11/0 nns: 1168.1192.iin-adddr.aarpa. (1223)11:533:21.4474408 IIP (ttos 00 x10, ttll 64, id 193228, ooffseet 0, flaags DF, prooto 66, leengthh: 1772) aaspteest.llocalldomaain.sssh 1922.1688.2288.2444.18558: PP 1688:3000(1322) acck 1 win 126663

25、47 ppackeets ccaptuured1474 packkets receeivedd by filtter745 ppackeets ddroppped bby keernell不带参数的的tcpddump会会收集网络络中所有的的信息包头头，数据量量巨大，必必须过滤。二、选项介介绍引用-A 以AASCIII格式打印印出所有分分组，并将将链路层的的头最小化化。-c 在收收到指定的的数量的分分组后，ttcpduump就会会停止。 -C 在将将一个原始始分组写入入文件之前前，检查文文件当前的的大小是否否超过了参参数fille_siize 中中指定的大大小。如果果超过了指指定大小，则则关闭当

26、前前文件，然然后在打开开一个新的的文件。参参数 fiile_ssize 的单位是是兆字节（是是1,0000,0000字节，而而不是1,048,576字字节）。-d 将匹匹配信息包包的代码以以人们能够够理解的汇汇编格式给给出。-dd 将将匹配信息息包的代码码以c语言言程序段的的格式给出出。-ddd 将匹配信信息包的代代码以十进进制的形式式给出。-D 打印印出系统中中所有可以以用tcppdumpp截包的网网络接口。-e 在输输出行打印印出数据链链路层的头头部信息。-E 用sspiiipadddr allgo:ssecreet解密那那些以adddr作为为地址，并并且包含了了安全参数数索引值sspi的

27、IIPsecc ESPP分组。 -f 将外外部的Innternnet地址址以数字的的形式打印印出来。-F 从指指定的文件件中读取表表达式，忽忽略命令行行中给出的的表达式。-i 指定定监听的网网络接口。-l 使标标准输出变变为缓冲行行形式，可可以把数据据导出到文文件。-L 列出出网络接口口的已知数数据链路。-m 从文文件moddule中中导入SMMI MIIB模块定定义。该参参数可以被被使用多次次，以导入入多个MIIB模块。-M 如果果tcp报报文中存在在TCP-MD5选选项，则需需要用seecrett作为共享享的验证码码用于验证证TCP-MD5选选选项摘要要（详情可可参考RFFC 23385）

28、。-b 在数数据-链路路层上选择择协议，包包括ip、arp、rarpp、ipxx都是这一一层的。-n 不把把网络地址址转换成名名字。-nn 不不进行端口口名称的转转换。-N 不输输出主机名名中的域名名部分。例例如，nnic.dddn.mmil只只输出nnic。-t 在输输出的每一一行不打印印时间戳。-O 不运运行分组分分组匹配（ppackeet-maatchiing）代代码优化程程序。-P 不将将网络接口口设置成混混杂模式。-q 快速速输出。只只输出较少少的协议信信息。-r 从指指定的文件件中读取包包(这些包包一般通过过-w选项项产生)。-S 将ttcp的序序列号以绝绝对值形式式输出，而而不是

29、相对对值。-s 从每每个分组中中读取最开开始的snnapleen个字节节，而不是是默认的668个字节节。-T 将监监听到的包包直接解释释为指定的的类型的报报文，常见见的类型有有rpc远远程过程调调用）和ssnmp（简简单网络管管理协议；）。 -t 不在在每一行中中输出时间间戳。 -tt 在在每一行中中输出非格格式化的时时间戳。-ttt 输出本行行和前面一一行之间的的时间差。-ttttt 在每一一行中输出出由datte处理的的默认格式式的时间戳戳。-u 输出出未解码的的NFS句句柄。-v 输出出一个稍微微详细的信信息，例如如在ip包包中可以包包括ttll和服务类类型的信息息。 -vv 输输出详细

30、的的报文信息息。-w 直接接将分组写写入文件中中，而不是是不分析并并打印出来来。三、tcppdumpp的表达式式介绍表达式是一一个正则表表达式，ttcpduump利用用它作为过过滤报文的的条件，如如果一个报报文满足表表 达式的的条件，则则这个报文文将会被捕捕获。如果果没有给出出任何条件件，则网络络上所有的的信息包 将会被截截获。在表达式中中一般如下下几种类型型的关键字字： 引用第一种是关关于类型的的关键字，主主要包括 hostt，nett，porrt，例如如 hosst 2110.277.48.2， 指指明 2110.277.48.2是一台台主机，nnet 2202.00.0.00指明2002

31、.0.0.0是是一个网络络地址，pport 23 指指明端口号号是23。如果没有有指定类型型，缺省的的类型是hhost。第二种是确确定传输方方向的关键键字，主要要包括srrc，dsst，dsst orr srcc，dstt andd srcc， 这些些关键字指指明了传输输的方向。举例说明明，srcc 22 ，指明明ip包中中源地址是是 22 ， ddst nnet 2202.00.0.00 指明目目的网络地地址是200。如果没有有指明 方方向关键字字，则缺省省是srcc or dst关关键字。第三种是协协议的关键键字，主要要包括fddd

32、i，iip，arrp，raarp，ttcp，uudp等类类型。Fdddi指明明是在FDDDI (分布式光光纤数据接接口网络)上的特定定的网络协协议，实际际上它是”etheer”的别别名，fdddi和eetherr 具有类类似的源地地址和目的的地址，所所以可以将将fddii协议包当当作ethher的包包进行处理理和分析。 其他的的几个关键键字就是指指明了监听听的包的协协议内容。如果没有有指定任何何协议，则则tcpddump 将会 监监听所有协协议的信息息包。除了这三种种类型的关关键字之外外，其他重重要的关键键字如下：gateeway， broaadcasst，leess， greaater， 还

33、有三种种逻辑运算算，取非运运算是 not ! ， 与运算是是andd，&;或或运算是or ，； 这些关关键字可以以组合起来来构成强大大的组合条条件来满足足人们的需需要。四、输出结结果介绍下面我们介介绍几种典典型的tccpdummp命令的的输出信息息 (1) 数数据链路层层头信息使用命令： #tcpddump -e hostt ICEEICE 是是一台装有有linuux的主机机。它的MMAC地址址是0：990：277：58：AF：11A H2219是一一台装有SSolarris的SSUN工作作站。它的的MAC地地址是8：0：200：79：5B：446； 上上一条命令令的输出结结果如下所所示：引用

34、21:500:12.8475509 eeth0 IICE. telnne t 0:0(0) aack 2225355 winn 87660 (DDF)21：500：12是是显示的时时间， 88475009是IDD号，etth0 表示从网网络接口设设备发送分分组， 88:0:220:799:5b:46是主主机H2119的MAAC地址， 它表明是是从源地址址H2199发来的分分组. 00:90:27:558:aff:1a是是主机ICCE的MAAC地址， 表示该分分组的目的的地址是IICE。 ip 是是表明该分分组是IPP分组，660 是分分组的长度度， h2219.3333577 IICE. te

35、lnnet 表表明该分组组是从主机机H2199的333357端口口发往主机机ICE的的 TELLNET(23)端端口。 aack 2225355 表明对对序列号是是2225535的包包进行响应应。 wiin 87760表明明发 送窗窗口的大小小是87660。(2) AARP包的的tcpddump输输出信息使用命令： #tcpddump arp得到的输出出结果是：引用22:322:42.8025509 eeth0 arrp whho-haas rooute telll ICEE (0:90:227:588:af:1a)22:322:42.8029902 eeth0 表明明从主机发发出该分组组，a

36、rpp表明是AARP请求求包， wwho-hhas rroutee telll ICCE表明是是主机ICCE请求主主机rouute的MMAC地址址。 0:90:227:588:af:1a是主主机 ICCE的MAAC地址。(3) TTCP包的的输出信息息用tcpddump捕捕获的TCCP包的一一般输出信信息是： 引用src dstt: fllags dataa-seqqno aack wwindoow urrgentt opttionsssrc dstt:表明从从源地址到到目的地址址， fllags是是TCP报报文中的标标志信息，SS 是SYYN标志， F (FFIN)， P (PPUSH) ， RR (RSST) . (没有标记记); ddata-seqnno是报文文中的数据据 的顺序序号， aack是下下次期望的的顺序号， winddow是接接收缓存的的窗口大小小， urrgentt表明 报报文中是否否有紧急指指