1、服务器安全运维审计产品,哪个公司的比较靠谱一点呢?
像这种安全运维的产品,现在做的还不是特别多呢,但是对公司还是比较重要的,推荐你用一下金万维的产品,也不知道你们公司是哪种要求,他们有ssa和tsa两种产品,网络里边都有介绍,官网上也有介绍,你可以 自己了解一下,而且有他们电话,你可以 咨询一下。
2、金万维的安全审计产品怎么样?
安全接入审计,英文全称:TSAuditor 简称TSA 据国际权威机构调查统计,80%的攻击、失窃、泄密事件均来自企业内部,包括内部人员的恶意操作、越权访问、滥用以及误操作等,来自内部的安全问题更多、更难防范,一旦出现内部安全问题,损失更大。 金万维安全接入审计系统TSAuditor提供内网和远程接入用户的所有操作行为审计,是一个能够监控、录像、审查、回放内部人员服务器操作行为,保护服务器信息安全的管理工具,可以轻松帮助客户洞悉员工是否符合信息访问、操作规范性和知识产品保护的既定规则要求,具有良好的可靠性和易用性。该产品可以广泛应用于需要加强内部员工行为控制、加强责任认定和完善授权管理的部门和领域。 系统组成 录像监控系统 录像调度系统录制所有服务器登录使用者的操作画面,包括普通用户与系统管理员的操作行为,录制的档案为加入数字签名的图像文件,可以对录制内容进行存储,以备日后播放查看。 播放系统 通过系统自带的播放器对录制的图像文件进行播放,为系统管理员提供服务器维护行为回放,实现故障快速排查,为内网和远程接入用户操作行为审计,作为企业重要信息外露查证的依据。 应用优势 对所有服务器操作行为进行实时录像,并通过自带播放器进行回放 录像数据不可改写,保证审计的公正性 操作身份确认机制,确保使用者身份准确 存储数据量小:只录制用户的动作、鼠标、键盘等信息,捕捉屏幕变化信息,空闲时间不录制,平均一天一个用户约100~150MB的档案大小,在多人登入的服务器下运作不影响系统的效能 支持各种服务器登录方式:所有基于RDP协议的远程接入产品,涵盖目前国内各个厂家的产品。 操作录像可检索:可以按照时间,用户,使用过的应用、服务器,会话中访问的文件、目录、网址等条件检索
3、linux服务器安全审计怎么弄
材料:Linux审计系统auditd 套件
步骤:安装 auditd
REL/centos默认已经安装了此套件,如果你使用ubuntu server,则要手工安装它:
sudo apt-get install auditd
它包括以下内容:
auditctl : 即时控制审计守护进程的行为的工具,比如如添加规则等等。
/etc/audit/audit.rules : 记录审计规则的文件。
aureport : 查看和生成审计报告的工具。
ausearch : 查找审计事件的工具
auditspd : 转发事件通知给其他应用程序,而不是写入到审计日志文件中。
autrace : 一个用于跟踪进程的命令。
/etc/audit/auditd.conf : auditd工具的配置文件。
Audit 文件和目录访问审计
首次安装 auditd 后, 审计规则是空的。可以用 sudo auditctl -l 查看规则。文件审计用于保护敏感的文件,如保存系统用户名密码的passwd文件,文件访问审计方法:
sudo auditctl -w /etc/passwd -p rwxa
-w path : 指定要监控的路径,上面的命令指定了监控的文件路径 /etc/passwd
-p : 指定触发审计的文件/目录的访问权限
rwxa : 指定的触发条件,r 读取权限,w 写入权限,x 执行权限,a 属性(attr)
目录进行审计和文件审计相似,方法如下:
$ sudo auditctl -w /proction/
以上命令对/proction目录进行保护。
3. 查看审计日志
添加规则后,我们可以查看 auditd 的日志。使用 ausearch 工具可以查看auditd日志。
sudo ausearch -f /etc/passwd
-f 设定ausearch 调出 /etc/passwd文件的审计内容
4. 查看审计报告
以上命令返回log如下:
time->Mon Dec 22 09:39:16 2016
type=PATH msg=audit(1419215956.471:194): item=0 name="/etc/passwd"
inode=142512 dev=08:01 mode=0100644 ouid=0 ogid=0 rdev=00:00 nametype=NORMAL
type=CWD msg=audit(1419215956.471:194): cwd="/home/somebody"
type=SYSCALL msg=audit(1419215956.471:194): arch=40000003 syscall=5
success=yes exit=3 a0=b779694b a1=80000 a2=1b6 a3=b8776aa8 items=1 ppid=2090 pid=2231 auid=4294967295 uid=1000 gid=1000 euid=0 suid=0 fsuid=0 egid=1000 sgid=1000 fsgid=1000 tty=pts0 ses=4294967295
comm="sudo" exe="/usr/bin/sudo" key=(null)
time : 审计时间。
name : 审计对象
cwd : 当前路径
syscall : 相关的系统调用
auid : 审计用户ID
uid 和 gid : 访问文件的用户ID和用户组ID
comm : 用户访问文件的命令
exe : 上面命令的可执行文件路径
以上审计日志显示文件未被改动。