使用安全审计加强Linux主机的安全维护能力.docx

使用安全审计加强 Linux 主机的安全维护能力

1.1 场景描述

1.1.1 学习目的

学生通过该能力模块的学习,能够独立完成和熟练把握实现主机安全审计的能力。

1.1.2 学习要求

明白得:审计对主机安全的重要性。

把握:使用 psacct 程序所提供的命令对主机进行审计。

1.1.3 学习重点和难点

1.学习重点

安全配置审计工具是一款用户对各类系统、设备做安全配置检查的自动化工具，

能够智能化识别各类安全设置，分析安全状态，并能够给出多种配置审计分析报告，

目前差不多支持多种操作系统及网络设备。

RedHat Linux 系统中的 psacct 程序能够依照安全需求进行修改。另外，利用

系统工具对各类账号的操作权限做限制，能够有效保证用户无法超越其账号权限的操

作，确保系统安全。

RedHat Linux 系统中的 psacct 程序提供了几个进程活动监视工具：ac 、

lastcomm、accton 和 sa。

 ac——命令显示用户连接时刻的统计.

 lastcomm——命令显示系统执行的命令.

1.4.1 启动 psacct 服务

默认情形下，RedHat Linux 系统默认安装了 psacct 程序，只需要系统中启动

psacct 服务，先用 chkconfig 命令查看 psacct 服务状态，如下所示：

[root@lab2 ~]# chkconfig --list psacct

psacct 0:关闭 1:关闭 2:关闭 3:关闭 4:关闭 5:关闭 6:关闭

使用命令 chkconfig 命令启用默认启动，并使用命令/etc/init.d/psacct start

命令来启动 psacct 服务，如下所示。

[root@lab2 ~]# chkconfig psacct on

[root@lab2 ~]# /etc/init.d/psacct start

开启进程记帐： [ 确定 ]

时刻。

total 102.27

显示每一天的连线统计时刻：

Jan 13 total 1.17

Jan 14 total 13.11

Jan 15 total 6.79

Jan 26 total 46.37

Today total 10.97

[root@lab2 ~]#

显示每一个用户的总计连线时刻和所有用户总计连线时刻：

[root@lab2 ~]# ac -p

user1 9.31

user2 7.62

比如显示 user1 用户过去执行的命令：

[root@lab2 ~]# lastcomm user1

bash user1 tty1 0.00 secs Wed Jan 27 06:24

id user1 tty1 0.00 secs Wed Jan 27 06:24

bash user1 tty1 0.00 secs Wed Jan 27 06:24

id user1 tty1 0.00 secs Wed Jan 27

06:24