Questions tagged «audit»

我时不时地收到奇怪的请求，要求在Linux系统上提供远程支持，故障排除和/或性能调整。 大型公司通常已经建立了完善的程序来提供对供应商/供应商的远程访问，而我只需要遵守这些程序即可。（不论结果好坏。） 另一方面，小公司和个人总是向我求教，以指导他们建立我所需要做的事情。通常，它们的服务器直接连接到Internet，现有的安全措施包括Linux发行版的默认设置。 几乎总是需要root级访问权限，而为我设置访问权限的人都不是专家级的sysadmin。我不希望他们的root密码，而且我也很确定我的行为不会是恶意的，但是我应该给什么合理的简单指示： 设置一个帐户并安全地交换凭证 设置root（sudo）访问 限制访问我的帐户 提供审核跟踪 （是的，我知道并且总是警告那些客户，一旦我具有管理员访问权限，则隐藏任何恶意操作都是微不足道的，但是让我们假设我没有什么可隐藏的，可以积极参与创建审计跟踪。） 以下步骤可以改善什么？ 我当前的指令集： 设置一个帐户并安全地交换凭证 我提供了一个密码哈希，并要求我使用该加密密码来设置我的帐户，因此我们无需传输明文密码，我将是唯一知道该密码的人，并且我们不会以可预测的弱密码。 sudo useradd -p '$1$********' hbruijn 我提供了一个公共密钥SSH（每个客户端特定的密钥对），并要求他们使用该密钥设置我的帐户： sudo su - hbruijn mkdir -p ~/.ssh chmod 0700 ~/.ssh echo 'from="10.80.0.0/14,192.168.1.2" ssh-rsa AAAAB3NzaC1y***...***== hbruijn@serverfault' >> ~/.ssh/authorized_keys chmod 0600 ~/.ssh/authorized_keys 设置root（sudo）访问 我要求客户端使用sudo sudoedit或使用他们最喜欢的编辑器为我设置sudo并附加到/etc/sudoers： hbruijn ALL=(ALL) ALL 限制访问我的帐户 通常，客户端仍然允许基于密码的登录，我要求他们添加以下两行以/etc/ssh/sshd_config至少将我的帐户仅限制为SSH密钥： Match user hbruijn …

51 linux  security  sudo  root  audit 

有什么迹象表明Linux服务器已被黑客入侵？是否有任何工具可以按计划生成并通过电子邮件发送审核报告？

36 linux  hacking  audit  security 

我想知道在Linux环境下跟踪超级用户活动的最佳方法是什么。 具体来说，我正在寻找以下功能： A）将击键记录到安全的Syslog服务器 B）能够重播shell会话（类似于scriptreplay） C）理想情况下，如果没有物理访问服务器，这应该是不可能（或相当困难）的事情。 在需要允许不同的系统管理员（甚至第三方）在服务器上执行特权操作的环境中，从安全/审核的角度考虑这一点。 每个管理员都将拥有自己的名义帐户，每个交互会话都应完整记录，并在必要时可以重播（例如，如果有人使用mc删除或更改关键文件，则仅此一个而已）知道那个人发出了mc命令；必须有一种方法可以确切地查看启动mc之后执行的操作。 附加说明： 正如womble所指出的那样，最好的选择也许不是让具有root特权的用户登录以在服务器上执行更改，而是通过配置管理系统执行此操作。因此，我们假设没有这样的系统，我们需要在同一服务器上向不同的人授予根级别的访问权限。 我对执行此操作完全不感兴趣：每个具有root特权登录到服务器的人都将完全意识到该会话将被记录（例如，呼叫中心操作员知道他们的对话在正在记录） 没有人会使用通用超级用户帐户（“根”） 我知道ttyrpld，它似乎可以满足我的要求。但是在采用这种方式之前，我想知道是否可以通过使用未修改的内核来解决。我想知道是否有针对Debian（特别是Linux）的工具，这些工具可以对超级用户帐户进行全面审核，而无需修补外壳或内核。

21 linux  security  audit 

我在Windows Server 2008计算机上使用SSH守护进程运行Cygwin。我在查看事件查看器时，发现上个星期左右，来自不同IP的每秒多达5到6次失败的登录尝试（强力）。 如何自动阻止这些IP，而不是手动逐个阻止它们？ 谢谢，艾哈迈德

20 windows-server-2008  security  ssh  automation  audit 

如何确定ssh服务器支持的支持的MAC，密码，密钥长度和KexAlogrithms？ 我需要为外部安全审核创建列表。我在寻找类似的东西openssl s_client -connect example.com:443 -showcerts。从我的研究中，ssh使用列出的默认密码man sshd_config。但是，我需要可以在脚本中使用的解决方案，man sshd_config并且不会列出有关密钥长度的信息。我需要在此处更正自己：您可以ServerKeyBits在中指定sshd_config。 我想这会ssh -vv localhost &> ssh_connection_specs.out返回我需要的信息，但是我不确定列出的密码是客户端还是服务器支持的密码。另外，我不确定如何在脚本中运行此非交互式。 有获取SSH连接信息的便捷方法吗？

19 linux  ssh  audit 

我有一个运行在ssh上的git服务器，每个用户在系统上都有一个unix帐户。 鉴于有两个用户可以访问存储库，所以我如何确定哪个用户执行了哪个提交，因为提交用户名和电子邮件是由git客户端提交和控制的。 我担心一个用户可能会假冒另一个用户，即使他们具有相同的授权权限。

16 git  security  audit 

我正在运行几个基于RHEL的系统，这些系统利用2.6内核中的审核功能来跟踪用户活动，并且需要将这些日志发送到集中式SYSLOG服务器以进行监视和事件关联。有人知道如何实现这一目标吗？

13 linux  syslog  redhat  audit 

我是Windows管理员，因此与Windows集成的人员可能会很有帮助。在这一点上，我面临的主要挑战只是文件共享，但是随着SharePoint使用的增加，这只会使这一工作变得更加困难。 我已经设置了所有目录，并允许使用需要最少访问权限的策略来设置许多安全组。我的问题是出于人力资源和合规性原因而对所有这些进行跟踪。 用户A需要获得对资源1的许可。他需要获得资源1的经理的批准，然后经理的经理也需要批准此访问权限。完成所有这些操作后，我就可以进行更改。在这一点上，我们只是在纸​​上进行跟踪，但这是一个负担，当重新分配用户A并且在其他情况下不再应该访问资源1时，它可能会失去合规性。 我知道我要寻找的东西应该已经存在，但我不知道在哪里寻找，我正在与社区建立联系。 编辑： 感谢您的答复。我认为他们涉及技术方面，希望我的问题不是题外话。我本该明确自己的目标。您使用什么系统向审核员显示X在日期X上用户A已添加/删除权限并获得了经理Y的批准？我目前有一个基本的票务系统，但是我看不到它能以一种易于理解的格式提供我所需要的东西。 在我的脑海中，我想像的是某个报告，该报告将对用户A进行报告，其中将显示对其权限所做的所有更改。理想情况下，链接到Active Directory的东西将是理想的选择，但在这一点上，我希望找到更基本的东西。我希望有一个专门用于此的应用程序。 谢谢！

12 windows  active-directory  audit 

我使用的Windows 2003/2008企业网络具有100个用户。我的任务是增加所有最终用户工作站上的RAM。 问题是我们的环境中混合使用了不同的计算机。有些是戴尔，一些惠普，还有一些我们从头开始构建的工作站。不用说，这些机器都不共享相同的内存类型或速度。 我知道我可以一对一地转到这100台计算机中的每台计算机以查找内存信息。但我宁愿找到一种省时，省钱的解决方案。 我是否可以通过一种方法来远程清点/审核这些计算机，以查找特定的内存类型（SDRAM，DDR，DDR2等），速度和插槽配置？ 谢谢，非常感谢您的帮助。

12 hardware  memory  audit 

在我们的一台服务器上，我们有一个文件，该文件一直神秘地被删除。我想做的是让一个程序监视此文件，并让我知道何时，如何/由谁删除它。我们已经备份了该文件，因此放回它并不麻烦，但是这会导致我们网站上的停机时间。 是否有执行此操作的软件？可能有免费的东西吗？操作系统是Windows Server 2003 SP2 32位。

11 windows-server-2003  filesystems  audit  trace 

在3个单独的系统中，以下事件在域控制器服务器上被记录多次（根据系统，一天之间在30至4,000次之间）： An account failed to log on. Subject: Security ID: SYSTEM Account Name: %domainControllerHostname%$ Account Domain: %NetBIOSDomainName% Logon ID: 0x3E7 Logon Type: 3 Account For Which Logon Failed: Security ID: NULL SID Account Name: Account Domain: Failure Information: Failure Reason: Unknown user name or bad password. Status: 0xc000006d Sub Status: …

10 security  windows-server-2012-r2  windows-event-log  windows-sbs-2011  audit 

我有一个在服务器上运行的论坛脚本，并且少量附件开始丢失。我想知道什么在什么时候删除它们。如何设置Linux auditd（auditctl）来监视目录树（附件存储在多级目录树中）以监视那里的文件删除？ 可能我应该为此使用其他工具吗？

9 linux  centos  audit  auditd 

我们有一个CentOS操作系统，今天早上对外部网络流量变得无响应。它是一个虚拟机。我能够重启虚拟机。重新登录后，我在/ var / log / messages文件中发现以下内容，一遍又一遍，直到重新启动为止： Jan 21 06:53:01 PBX kernel: audit: backlog limit exceeded Jan 21 06:53:01 PBX kernel: audit: audit_backlog=321 > audit_backlog_limit=320 Jan 21 06:54:01 PBX kernel: printk: 8 messages suppressed. Jan 21 06:54:01 PBX kernel: audit: audit_backlog=321 > audit_backlog_limit=320 Jan 21 06:54:01 PBX kernel: audit: audit_lost=1130 audit_rate_limit=0 …

9 linux  centos  windows-event-log  audit