三、安全审计
a)应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;
测评过程;
1、现场核查服务器是否具备审计功能;(通常默认都有)
2、审计策略是否开启:
使用命令service auditd status查看是否启用审计服务;
使用命令service rsyslog status查看是否启用日志服务;(有些版本日志服务可能叫syslog或rsyslogd)
3、审计对象是否全面:
启用日志审计服务后,默认审计对象为所有服务器中用户
4、是否对重要的用户行为和重要安全事件进行审计,审计范围有哪些:
使用命令more /etc/rsyslog.conf查看文件中是否包含:*.info;mail.none;news.none;authpriv.none;cron.none /var/log/messages;
b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他
版权归原作者 鹅鹅鹅饿鹅鹅鹅 所有, 如有侵权,请联系我们删除。