1、伺服器安全運維審計產品,哪個公司的比較靠譜一點呢?
像這種安全運維的產品,現在做的還不是特別多呢,但是對公司還是比較重要的,推薦你用一下金萬維的產品,也不知道你們公司是哪種要求,他們有ssa和tsa兩種產品,網路里邊都有介紹,官網上也有介紹,你可以 自己了解一下,而且有他們電話,你可以 咨詢一下。
2、金萬維的安全審計產品怎麼樣?
安全接入審計,英文全稱:TSAuditor 簡稱TSA 據國際權威機構調查統計,80%的攻擊、失竊、泄密事件均來自企業內部,包括內部人員的惡意操作、越權訪問、濫用以及誤操作等,來自內部的安全問題更多、更難防範,一旦出現內部安全問題,損失更大。 金萬維安全接入審計系統TSAuditor提供內網和遠程接入用戶的所有操作行為審計,是一個能夠監控、錄像、審查、回放內部人員伺服器操作行為,保護伺服器信息安全的管理工具,可以輕松幫助客戶洞悉員工是否符合信息訪問、操作規范性和知識產品保護的既定規則要求,具有良好的可靠性和易用性。該產品可以廣泛應用於需要加強內部員工行為控制、加強責任認定和完善授權管理的部門和領域。 系統組成 錄像監控系統 錄像調度系統錄制所有伺服器登錄使用者的操作畫面,包括普通用戶與系統管理員的操作行為,錄制的檔案為加入數字簽名的圖像文件,可以對錄制內容進行存儲,以備日後播放查看。 播放系統 通過系統自帶的播放器對錄制的圖像文件進行播放,為系統管理員提供伺服器維護行為回放,實現故障快速排查,為內網和遠程接入用戶操作行為審計,作為企業重要信息外露查證的依據。 應用優勢 對所有伺服器操作行為進行實時錄像,並通過自帶播放器進行回放 錄像數據不可改寫,保證審計的公正性 操作身份確認機制,確保使用者身份准確 存儲數據量小:只錄制用戶的動作、滑鼠、鍵盤等信息,捕捉屏幕變化信息,空閑時間不錄制,平均一天一個用戶約100~150MB的檔案大小,在多人登入的伺服器下運作不影響系統的效能 支持各種伺服器登錄方式:所有基於RDP協議的遠程接入產品,涵蓋目前國內各個廠家的產品。 操作錄像可檢索:可以按照時間,用戶,使用過的應用、伺服器,會話中訪問的文件、目錄、網址等條件檢索
3、linux伺服器安全審計怎麼弄
材料:Linux審計系統auditd 套件
步驟:安裝 auditd
REL/centos默認已經安裝了此套件,如果你使用ubuntu server,則要手工安裝它:
sudo apt-get install auditd
它包括以下內容:
auditctl : 即時控制審計守護進程的行為的工具,比如如添加規則等等。
/etc/audit/audit.rules : 記錄審計規則的文件。
aureport : 查看和生成審計報告的工具。
ausearch : 查找審計事件的工具
auditspd : 轉發事件通知給其他應用程序,而不是寫入到審計日誌文件中。
autrace : 一個用於跟蹤進程的命令。
/etc/audit/auditd.conf : auditd工具的配置文件。
Audit 文件和目錄訪問審計
首次安裝 auditd 後, 審計規則是空的。可以用 sudo auditctl -l 查看規則。文件審計用於保護敏感的文件,如保存系統用戶名密碼的passwd文件,文件訪問審計方法:
sudo auditctl -w /etc/passwd -p rwxa
-w path : 指定要監控的路徑,上面的命令指定了監控的文件路徑 /etc/passwd
-p : 指定觸發審計的文件/目錄的訪問許可權
rwxa : 指定的觸發條件,r 讀取許可權,w 寫入許可權,x 執行許可權,a 屬性(attr)
目錄進行審計和文件審計相似,方法如下:
$ sudo auditctl -w /proction/
以上命令對/proction目錄進行保護。
3. 查看審計日誌
添加規則後,我們可以查看 auditd 的日誌。使用 ausearch 工具可以查看auditd日誌。
sudo ausearch -f /etc/passwd
-f 設定ausearch 調出 /etc/passwd文件的審計內容
4. 查看審計報告
以上命令返回log如下:
time->Mon Dec 22 09:39:16 2016
type=PATH msg=audit(1419215956.471:194): item=0 name="/etc/passwd"
inode=142512 dev=08:01 mode=0100644 ouid=0 ogid=0 rdev=00:00 nametype=NORMAL
type=CWD msg=audit(1419215956.471:194): cwd="/home/somebody"
type=SYSCALL msg=audit(1419215956.471:194): arch=40000003 syscall=5
success=yes exit=3 a0=b779694b a1=80000 a2=1b6 a3=b8776aa8 items=1 ppid=2090 pid=2231 auid=4294967295 uid=1000 gid=1000 euid=0 suid=0 fsuid=0 egid=1000 sgid=1000 fsgid=1000 tty=pts0 ses=4294967295
comm="sudo" exe="/usr/bin/sudo" key=(null)
time : 審計時間。
name : 審計對象
cwd : 當前路徑
syscall : 相關的系統調用
auid : 審計用戶ID
uid 和 gid : 訪問文件的用戶ID和用戶組ID
comm : 用戶訪問文件的命令
exe : 上面命令的可執行文件路徑
以上審計日誌顯示文件未被改動。