在我的办公室发生了一些安全漏洞,窃取了公司的数据之后,我的经理给了我一个任务,即查找用户读取的文件服务器上的所有文件夹,并且在过去的三个月内他们没有使用该权限。 没有第三方软件可能吗?
我们的一个域成员服务器几乎每分钟都会持续生成连续的login失败(通过审核策略捕获到事件查看器)。 这是一个典型的故障日志(名称和IP混淆): Event Type: Failure Audit Event Source: Security Event Category: Logon/Logoff Event ID: 529 Date: 11/10/2014 Time: 8:44:49 PM User: NT AUTHORITY\SYSTEM Computer: MY_SERVER Description: Logon Failure: Reason: Unknown user name or bad password User Name: Administrator Domain: MY_DOMAIN Logon Type: 10 Logon Process: User32 Authentication Package: Negotiate Workstation Name: MY_SERVER Caller User Name: […]
我的组织采用了许多公开REST接口的服务。 POST,PUT或DELETE请求到这样的接口可能是破坏性的。 使用防火墙和用户authentication,我们可以限制授权人员。 我想更进一步,需要两个人的批准,然后再由应用服务器处理请求。 是否有一个反向代理,我可以在用户和应用程序服务器之间使用,以便任何GET请求立即转发到应用程序服务器。 但是,任何POST或PUT请求都会延迟到交互式网页上被批准为止。 (有问题的请求通常包含一个JSON正文,URL和HTTP动词相当具有描述性。) 所以,如果爱丽丝呢 curl -XDELETE https://some.api/important/resource, 直到Bob打开一个Web浏览器并明确地确定它才会有效果。 Alice可以使用脚本来执行操作,但Bob必须在浏览器中出现并validation请求。
需要暴露给互联网的Linux(特别是Debian Jessie)服务器正在日志中preauth各种OpenSSH 6.7 preauth错误。 例如,我越来越(时间戳清楚): 错误:从ABCD接收断开:3:com.jcraft.jsch.JSchException:身份validation失败[preauth] 致命:无法协商密钥交换方法[preauth] 致命的:找不到匹配的密码:client … server … [preauth] 收到从ABCD断开连接:11:正常关机,感谢您播放[preauth] 收到从ABCD断开的连接:11:ok [preauth] 等等。 我并不担心这些探测器本身; 系统保持最新状态,根据当前的最佳实践,OpenSSHconfiguration已经得到很好的强化,并且还有额外的保护措施(例如fail2ban)。 是否有任何理由为什么任何OpenSSH preauth日志条目将需要特别的人类关注? 问题的答案什么是“正常关机,感谢您玩[preauth]”在SSH日志中是什么意思? 表明这个问题的具体情况是可以忽略的; 我的问题是更通用的。
我正在build立一个PCI DSS环境,并面临下一个问题。 在安装de OS(CentOS 7.3 Minimal)时,我select了“PCI DSS”configuration文件。 当我检查在/etc/audit/audit.rules上应用的规则时,有很多规则,我只是保留其中的2或3个。 所以我修改了包含规则的文件并重新加载它们。 直到这一点没有问题。 我所面对的是,每次重新启动auditd.service时,我的自定义规则都会被PCI DSSconfiguration文件强制覆盖。 我也会尝试用我的自定义规则创build一个文件,让我们来说/etc/audit/audit-custom.rules 。 我可以使用命令auditctl -R /etc/audit/audit-custom.rules导入规则,并在那一刻如果我执行auditctl -l我只有在我的custom.rules文件中定义的规则。 问题是,当我重新启动auditd服务时,每次都需要在/etc/audit/audit.rules定义的规则。 即使我删除了所有的规则,并将我的自定义规则放在默认规则configuration文件中,在重新启动服务之后,auditd覆盖了我的自定义规则 任何人有任何线索如何防止这种行为? 在此先感谢您的帮助
这是一个脚本来打开一个审计规则: $path = 'C:\…\*' $ACL = new-object System.Security.AccessControl.FileSecurity $AccessRule = new-object System.Security.AccessControl.FileSystemAuditRule("everyone","ExecuteFile","success") $ACL.SetAuditRule($AccessRule) $dircont = gci $path -include "*.dot" foreach ($file in $dircont) { $ACL | Set-Acl $file } 但我希望能够做的是,对于任何给定的文件,删除任何和所有的审计规则。 所以假设你不知道用户有什么审计设置或者什么动作,你只是想摆脱这一切……就像我想我可以做这样的事情: $AccessRule = new-object System.Security.AccessControl.FileSystemAuditRule("everyone","ExecuteFile","none") 但是,只有当你知道哪些用户已经被configuration为在该文件上进行审计时才有用…希望这是有道理的。 谢谢你的帮助。
我们正在build立一个复制数据中心,并确保新数据中心的configuration(几乎)与原始数据中心相同。 新的数据中心将有不同的地址和命名,并且会有不同的用户帐号,但是所有的COTS,补丁和configuration应该是相同的。 我们通常会把原来的服务器弄晕,然后把这些镜像安装到新的机器上,但是我们有一些COTS的问题,需要我们把它们安装在镜像之外,因为它们在安装和维护过程中如何捕获networking的设置它在他们的configuration信息中(在某些情况下将其存储在各种数据库中)。 我们已经尝试过多次,除非目标机器与原来的机器具有相同的networking设置(在整个networking中所有相同的IP,主机名,用户帐号等),否则这个COTS不能被捕获到鬼影内。 事实上,这是我最想要审计的特殊COTS的设置,因为它们难以安装和configuration。 鉴于我们不能简单的鬼魂,我试图find一个合理的方式来审计新的数据中心,并检查它是否像原来的设置(某种系统范围的configuration审计或完整性检查)。 我正在考虑使用像Tripwire这样的服务器来捕获源机器上的configuration,然后在目标机器上运行审计。 我明白,由于较小的configuration更改,它仍然会显示一些差异,但是我希望这会消除大部分的工作。 以下是我正在工作的一些限制: 数据中心由多台不同版本的Windows和Linux机器组成(总计约20台) 我绝对不能把这些机器的任何其他types的图像弄糟,至less不是在最终的configuration中 我想审核最后的configuration,以确保所有的COTS,补丁,configuration等都已正确安装和设置(与原始数据中心相比) 我宁愿不在这些机器上安装任何额外的工具…我宁愿运行它从一台独立的机器或DVD 工具的价格是重要的,但不是一个不可能的负担,然而,尽快获得解决scheme是非常重要的(我不能花时间推出自己的工具来做到这一点) 对于存储networking信息的COTS,我不知道存储networking信息的所有地方……所以我不太可能在不久的将来find一种方法来在安装发生后调整它的设置 任何人有任何想法或替代方法? 任何人都可以推荐可用于系统范围configuration审计的工具吗?
我想知道是否有任何方式浏览/searchSQL Server事务日志(任何版本)。 我们以前使用过Lumigent Log Explorer等工具来满足我们的需求,但是这个产品已经不存在了,Lumigent最接近的替代品似乎不支持SQL 2008(根据数据表)。 我发现了一些名为ApexSQL Audit的东西,可能适合这个账单,但是我想知道是否有人有这方面的经验,如何与Log Explorer进行比较,以及是否有更好的select。
任何想法为什么以下不起作用? 它挂起没有输出。 desktop$ ssh myserver "sudo ausearch -k my_key" 但是,下面的作品。 它从auditd输出该密钥的审计历史logging。 desktop$ ssh myserver myserver$ sudo ausearch -k my_key 以下也有效。 (意思是,sudo目前不需要密码。) desktop$ ssh myserver "sudo ls"
为了符合PCI规定,我已经configuration了auditd PCI规定现有日志不能在不生成警报的情况下进行更改 本文http://ptresearch.blogspot.com/2010/11/requirement-10-track-and-monitor-all.htmlbuild议您这样做: -w / var / log / -k Logs_Accessed -p rwxa 这个auditctl命令会起作用吗? 当然,你最终会在审核事件写入日志引发另一个审计事件等一圈?