linux命令审计 linux命令审计原理

linux系统中,系统审计的对象是

1、信息安全审计的主要对象是用户、主机和节点。信息安全审计， 揭示信息安全风险的最佳手段， 改进信息安全现状的有效途径，满足信息安全合规要求的有力武器。根据预先确定的审计依据（信息安全法规、标准及用户自己的规章制度等）。

创新互联建站-专业网站定制、快速模板网站建设、高性价比永嘉网站开发、企业建站全套包干低至880元,成熟完善的模板库,直接使用。一站式永嘉网站制作公司更省心,省钱,快速模板网站建设找我们，业务覆盖永嘉地区。费用合理售后完善，10多年实体公司更值得信赖。

2、用户名为student，密码储存在/etc/shadow文件中，用户ID为503，组ID为503，用户相关信息为空，主目录为/home/student，默认shell为/bin/bash。

3、信息系统审计（又称IT审计）是为了信息系统的安全、可靠与有效，由独立于审计对象的IT审计师，以第三方的客观立场对以计算机为核心的信息系统进行综合的检查与评价，向IT审计对象的最高领导层，提出问题与建议的一连串的活动。

4、没有设置正确的文件共享权限：没有正确设置Windows和Linux系统之间的文件共享权限，WinMount在挂载时会出错。没有安装必要的协议软件包：没有安装必要的SMB或CIFS协议软件包来连接Windows共享，WinMount在挂载时会出错。

5、打开控制面板，点击其中的“系统与安全”。点击“Windows 防火墙”之后，打开“高级设置”。点击“出站规则”--新建规则。点击“程序”--浏览--找到需要阻止访问网络的程序。

为什么建专用审计账户,linux

多人共同使用的服务器权限确实不好管理，误操作等造成故障，无法追究，最好的办法就是将用户操作实时记录到日志，并推送到远程日志服务器上。包括（用户登陆时间，目录，操作命令及时间戳等)。以便事后追查。

一种是，通过收取linux操作系统上的日志，来进行审计。优点是全面，内容是零散，缺乏直观性，一般需要专业的软件来收集和呈现，同时由于容易被删除，可能导致关键审计信息缺失问题，以及由于共享账号问题，导致无法定位到人。

linux系统中，系统审计的对象是audit审计服务、syslog日志系统。audit服务，专门用来记录安全信息，用于对系统安全事件的追溯；syslog日志系统，用来记录系统中的各种信息，如安全、调试、运行信息等。

使用logrorate对审计文件管理 /var/log/utmp，/var/log/wtmp和/var/log/pacct文件都是动态的数据文件。wtmp和pacct文件是在文件尾部不断地增加记录。在繁忙的网络上，这些文件会变得很大。

而设备独立性的操作系统能够容纳任意种类及任意数量的设备，因为每一个设备都是通过其与内核的专用连接独立进行访问。

专用账户是指企业为满足特定用途而开设的账户。如：纳税专用账户、贷款专用账户等。专用账户只能办理转账业务，不能提取现金。

Linux系统上记录MYSQL操作的审计日志

后来在在~/.mysql_history文件找到了操作记录，估计是这个文件还存在的原因，删除后才记录到新的MYSQL_HISTFILE定义的路径。

journalctl不记录MySQL启动日志的原因是因为MySQL的启动日志通常会输出到MySQL的错误日志文件中，而不是系统的系统日志中。Journalctl是Linux系统的日志管理工具，它主要查看和管理系统日志，包括内核消息、系统服务消息等。

在后期审计进行行为追踪时，根据binlog记录的行为及对应的connection-id 结合 之前连接日志记录 进行分析，得出最后的结论。

MySQL的日志操作：首先，登陆mysql后，执行sql语句：show variables like log_bin。#错误日志log-errol开启方式：在my.ini的[mysqld]选项下：添加代码：log-error=E：\log-error.txt。

Linux 主机审计 Linux操作系统可以通过设置日志文件可以对每个用户的每一条命令进行纪录，不过这一功能默认是没有打开的。

如何查看linux系统内核审计是否开启

1、当正常安装完SUSE Linux Enterprise Server 时，很多初学者无法通过SecureCRT或者PuTTY之类的终端程序进行ssh连接，感到束手无策，其实ssh服务是默认开启的，只是默认防火墙开启了，可以通过YAST关闭，也可以通过命令行关闭。

2、psaux或netstat-tlunpps是进程查看命令 netstat是端口查看命令 在Linux系统中，服务一定是有进程的，所以使用ps命令可以查看服务运行情况。另外，Linux服务多数是网络服务，所以通过netstat命令也可以查看服务运行状态。

3、debian系统无法查看是否开启日志审计功能。debian系统功能列表中没有查看是否开启日志审计的功能，用户无法进行操作。