《网络系统安全运行与维护》课件项目四 任务四 使用安全审计加强Linux主机的安全维护

项目四Linux桌面系统安全运行与维护项目主要内容：任务一加强Linux主机安全访问权限任务二加强Linux用户网络访问权限的安全控制任务三加强Linux文件系统访问安全任务四使用安全审计加强Linux主机的安全维护任务提出

经过前面任务中对口令加强、访问权限的安全控制及文件系统安全访问的配置后，已经对Linux办公网络实现了基本的系统安全防护。但由于网络环境复杂，网络应用增多，为了保障网络安全，还需要对网络用户的行为进行审计，包括对用户的登录时间进行统计，对所有登录的用户在系统中执行的命令进行审计，并且对用户在系统中执行的系统进程进行统计和记账，从而保护网络安全。1.启动相关服务并进行实验

在服务器端开启telnet服务等，从客户端进行连接操作，产生访问记录，以便在审计中查看。2.在服务器端对网络行为进行审计

在服务器端查看用户连线时间、执行过的命令、统计记账信息等，对网络行为进行审计。任务分析1.启动相关服务并进行实验

在服务器端开启telnet服务、chkconfig服务等，从客户端进行远程连接操作，产生网络行为，为后续步骤中的查看审计生成数据。2.在服务器端对网络行为进行审计

安全审计工具是一款用于对各类系统和设备进行安全检查的自动化工具，能够智能化识别各类安全设置，分析安全状态，并能够给出多种配置审计分析报告，目前已经支持多种操作系统及网络设备。RedHatLinux系统中的psacct程序可以根据安全需求进行修改。另外，利用系统工具对各类帐号的操作权限进行限制，能够有效保证用户无法进行超越其帐号权限的操作，确保系统安全。RedHatLinux系统中的psacct程序提供了以下几个进程活动监视工具：

（1）ac:显示用户连接时间。

（2）lastcomm:显示系统执行的命令。

（3）accton:用于打幵或关闭进程记账功能。

（4）sa:统计系统进程记账的情况。

进程记账可以记录用户的活动，通过它查看每一个用户执行的命令，包括CPU占用的时间和消耗的内存。使用活动监视工具可以监视所有用户执行的命令，从而保护网络安全。任务实施1.启动相关服务并进行实验

操作步骤如下：

步骤1实验准备阶段，根据项目一中任务二知识点，在VMwareWorkstation中部署两台RedHatEnterpriseLinux6.4系统虚拟机Server和PC，两个虚拟机的IP地址规划如表4-2所示，并将两台虚拟机实现网络连通。设备名称设备角色操作系统IP地址Server服务器RedHatLinux6.4192.168.159.9/24PC客户端RedHatLinux6.4192.168.159.10/24步骤2

在Server上创建用户abc和sj。①在Server上，创建用户abc和sj。、②在Server上，开启telnet服务，输入如下命令。③在Server上，启动psacct服务，如下所示。[root@linuxA桌面]#useraddabc[root@linuxA桌面]#passwdabc[root@linuxA桌面]#useraddsj[root@linuxA桌面]#passwdsj[root@linuxA桌面]#systemctlstarttelnet.socket[root@linuxA桌面]#systemctlstartxinetd[root@linuxA桌面]#systemctlstartpsacct④在Server上，建立tty连接。在RedHat6.4系统中，按CTRL+ALT+F1-F6打开tty终端，并使用abc用户在其他终端登录，如图1所示。图1⑤在PC上，进行远程连接。在PC上安装telnet程序：PC远程连接并登录服务器：[root@linuxB桌面]#yumlist|greptelnettelnet.i6861:0.17-47.el6_3.1basetelnet-server.i6861:0.17-47.el6_3.1base[root@linuxB桌面]#yum-yinstalltelnet.i686[root@linuxB桌面]#telnet192.168.159.9Trying192.168.159.9...Connectedto192.168.159.9.Escapecharacteris'^]'.RedHatEnterpriseLinuxServerrelease6.4(Santiago)Kernel2.6.32-358.el6.i686onani686login:abcPassword:Lastlogin:ThuMay2316:11:15ontty6[abc@linuxA~]$2.在服务器端对网络行为进行审计步骤3

在Server上对网络行为进行审计。（1）显示用户的连线时间。①显示总计连线时间。以上输出表示，该系统总计连线时间为1412.11小时。②显示每一天的连线时间。从以上输出可以看出该系统每一天的连线时间，单位为小时。[root@linuxA桌面]#ac total1412.11[root@linuxA桌面]#ac-dApr12 total68.67Apr25 total14.74Apr26 total47.34Apr28 total96.18May8 total479.94May9 total47.81Today total657.42③显示每一个用户的总计连线时间和所有用户总计连线时间。从以上输出可以看出该系统中每个用户的总计连线时间，以及所有用户的总计连线时间。（2）查询用户执行过的命令。①显示用户abc执行过的命令。以上输出显示了abc用户在该系统中伪虚拟终端中某一时刻执行过的命令。[root@linuxA桌面]#ac-p root1411.73 abc0.39 total1412.12[root@linuxA桌面]#lastcommabcbashFabcpts/10.00secsThuMay2316:28idabcpts/10.00secsThuMay2316:28grepabcpts/10.00secsThuMay2316:28……②搜索进程记账日志，如下所示。（3）统计记账信息。

以上输出显示了每个命令的调用次数、re（实际使用时间，单位为分钟）、cpu（通常简写为cp，表示用户和系统时间之和，单位为分钟）、avio（每次执行的平均I/O操作次数）、k字段（平均CPU时间，单元的大小为1K）。[root@linuxA桌面]#sa921055.29re0.01cp1356k150.56re0.00cp2540k***other*21054.72re0.00cp2897kpackagekitd20.00re0.00cp4996kgnome-screensav……[root@linuxA桌面]#lastcommls（4）查看CPU的使用情况。以上输出显示了每个用户的进程数和CPU分钟数。[root@linuxA桌面]#sa-m931055.29re0.01cp1347kroot461055.29re