我们有一个CentOS 6.2 x86_64系统,logging看起来是错误的审计信息。 我们收到了一个用户没有真正login的login失败提醒。经过一些诊断,我们发现事件的来源是我们的工具,可以定期检查SSH是否正在应答。 当发生这种情况时,我们看到这个日志这个条目: type=USER_LOGIN msg=audit(1340312224.011:489216): user pid=28787 uid=0 auid=501 ses=8395 subj=unconfined_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=login acct=28756E6B6E6F776E207A01234567 exe="/usr/sbin/sshd" hostname=? addr=127.0.0.1 terminal=ssh res=failed' 这是我们得到的条目,每当有一个不完整的SSH连接,但通常交stream是相同的ses =值。 出于某种原因,在此系统上,无论login用户如何,它都使用特定用户的交易。 例如,将ssh'ng作为[email protected] ssh'ng并在提供密码之前取消会生成此错误。 尝试使用伪造密码login到不相关的帐户也将创build具有不正确的交易值的条目。
我有MySQL服务器。 服务器是由我的应用程序和外部审计人员(使用mysql工作台的人员)访问的。 审核员具有特定的用户和密码以及专用IP,并且仅授予select权限。 我需要logging审计员的活动。 我在这里读到了类似的问题在serverfault,但我没有看到任何可以接受的答案,只有特定的用户可以做sqllogging的sql服务器。 但是,是否有可能以及如何从审计人员的IPloginnetworking软件包,但只logging文本(查询),而不是完整的软件包? 任何其他解决scheme如何监视审计人员在服务器上所做的工作?
有一天,我在Debian服务器上设置了一个小脚本,在文件发生变化时向我发送电子邮件。 它看起来像这样: #!/bin/sh items=`find /var/www/vhosts -regex ".*/httpdocs/.*" -newer files_start -ls` if [ ! -z "$items" ] then touch files_start echo "$items" | mail -s "new file(s)" "[email protected]" fi 我不断得到一个神秘的长度为0的文本文件(可以通过PHP和vhost用户,而不是Apache)进行修改,每天修改2-3次,所以我使用以下规则设置了auditd。 auditctl -l LIST_RULES: exit,always watch=/var/www/vhosts/path/to/file.txt perm=rwa key=wh1 正如预期的那样,我testing了它, …comm="touch" exe="/bin/touch"… 在得到下一个电子邮件与新的MODdate后,我跑ausearch:没有新的比赛! 这怎么可能发生? —- —-更新 我通过其他方式发现,这个过程是PHP运行的,就像Apache调用的fastCGI一样。 PHP函数调用是: touch('path/to/file.txt'); 所以问题就变成了:fastCGI PHP如何通过auditd改变文件并逃脱检测? 这开始看起来像一个审计错误。
我尝试使用selinux和audit.log来实现我的RHEL系统的个人责任。 我按照这里给出的指示: 在生产服务器上loggingpipe理员运行的所有命令 如果我理解正确,pam_loginuid.so应该保留用于login的UID并将其设置为audit.log文件中的AUID。 不幸的是, 苏之后不起作用。 当我login到系统并调用cat / proc / self / loginuid时,它显示我的正确的UID。 如果我调用sudo su –并再次调用cat / proc / self / loginuid ,它将显示0.同样,在sudo su –之后调用的命令,在audit.log中使用ID 0作为AUID。 我在这里做错了什么? 这是我的pam.d / sshd文件: auth include system-auth account required pam_nologin.so account include system-auth password include system-auth session optional pam_keyinit.so revoke session required pam_loginuid.so session include system-auth 我在/etc/grub.conf中启用了audit = 1,并按照上面的post所述编辑了/etc/audit/audit.rules。
Windows服务器2012R2 auditpol /设置/子类别:“处理操作”/成功:禁用/失败:禁用 仍然得到事件4656“请求对象的句柄” 有任何想法吗?
我们公司有一个文件服务器,一个Debian Squeeze 64位,共享一些文件夹到使用NFSv2的Linux服务器和使用Samba的Windows工作站。 我想logging访问到一组特定的共享文件。 我安装并configuration了使用以下configurationloggingSamba操作的full_audit Samba模块。 [MY_SHARE] path = /share/directory_to_watch vfs objects = full_audit full_audit:prefix = %u|%I|%m|%S full_audit:success = pread read full_audit:failure = none full_audit:facility = local7 full_audit:priority = warning 问题是日志会出现用户没有执行的日志logging操作:在Windows工作站中,通过单击并停止在文件夹中,然后将文件夹中的每个文件都标记为日志中已读取。 所以full_audit显然不是一个可靠的工具。 还是我做错了什么? 我试图在我的文件服务器上安装auditd的Linux工具。 该工具会在安装它的机器上logging系统调用。 但是,当用户访问我想通过其他服务器上的NFS挂载进行监视的文件时,系统调用在挂载共享的服务器上发生,而不是在文件服务器上(这是NFS的工作方式)。 而且我想避免我应该到处部署监控工具的情况。 所以问题是:没有人用full_audit Samba模块遇到同样的问题吗? 有谁知道在NFS服务器上logging文件访问的好方法吗?
我们试图找出是否有任何具体的方法来审计远程桌面用户连接到terminal服务器的版本。 您可以通过右键单击顶部的mstsc.exe栏并select“关于”手动查找版本号,但对于拥有数百个用户连接的大公司来说,这是不可行的。 我们想要以日志的forms或者某种方式来查明它们连接的是什么版本,我们可以在一个地方看到它们,原因是一些用户在会话中遇到了延迟和口吃,我们希望以确定受影响的特定用户是否在相同版本的远程桌面上。 提前致谢
我想知道在Exchange服务器2010中启用此function的优点和缺点。首先,我们希望首先使用less量邮箱,但我知道login徽标将需要一些存储空间。
我们遇到了这样的情况:在我们的configuration中隐藏了不正确的AWS防火墙规则,导致了一些麻烦。 几天后,我们find了规则并修复了它。 有没有人知道一个很好的方法来审计Amazon AWS防火墙configuration,以更好地可视化configuration,以避免在这些问题成为问题之前?
我非常努力地在Active Directory和Windows(服务器和桌面)环境中删除尽可能多的帐户/angular色。 这意味着尽可能多的用户从本地pipe理员和域pipe理员angular色中退出。 (这包括我们自己的安全团队)。 像许多被迫遵守外部规定的组织一样,我们需要保持职责分离。 我在Windows中杀死的一种内置angular色是“只读本地pipe理员”或“审计员”angular色。 有多个类别的用户应该有权检查所有设置,所有文件系统,并运行所有不改变系统的标准工具。 两个例子 – 我们的安全团队和审计人员,他们经常需要不受限制的访问来检查,而没有(偶然或devise)改变设置的可能性。 对于那些愚蠢地“需要”pipe理员权限的工具和服务帐户,这可能是有用的,迫使我们研究所需的“真实”设置。 这些用户需要能够独立于操作团队行事,而不是依靠他们或其他人来收集有关操作系统级别的所有系统设置的信息。 简而言之 – 我不知道这样的东西是内置的。我在这里寻找资源 – 例如,Powershell脚本,我们可以在服务器上运行,作为预先build立(尽可能)的基准,function等同于上述。 即使是build议设置的源列表或如何将是有用的。 我有很多想法(磁盘,registry,股票ACLS),GPO等等。 为了logging,我确实看到了这样的问题: 是否可以创build一个只读的用户帐户进行安全审计? 。 我希望我的post是足够明确的足够的解释,以吸引更多的单一反应,它收到。