1、M6-4 使用安全審計(jì)加強(qiáng) Linux 主機(jī)的安全維護(hù)能力1.1 場(chǎng)景描述1.1.1 學(xué)習(xí)目的學(xué)生通過(guò)該能力模塊的學(xué)習(xí) ,能夠獨(dú)立完成和熟練掌握實(shí)現(xiàn)主機(jī)安全審計(jì)的能 力。1.1.2 學(xué)習(xí)要求理解:審計(jì)對(duì)主機(jī)安全的重要性。掌握 :使用 psacct 程序所提供的命令對(duì)主機(jī)進(jìn)行審計(jì)。1.1.3 學(xué)習(xí)重點(diǎn)和難點(diǎn)1.學(xué)習(xí)重點(diǎn)ac 命令 .sa 命令2.學(xué)習(xí)難點(diǎn)psacct 程序1.2 知識(shí)準(zhǔn)備1.2.1 psacct 程序安全配置審計(jì)工具是一款用戶(hù)對(duì)各類(lèi)系統(tǒng)、 設(shè)備做安全配置檢查的自動(dòng)化工具， 能夠智能化識(shí)別各類(lèi)安全設(shè)置，分析安全狀態(tài)，并能夠給出多種配置審計(jì)分析報(bào)告， 目前已經(jīng)支持多種操作系統(tǒng)及網(wǎng)絡(luò)設(shè)

2、備。RedHat Linux 系統(tǒng)中的 psacct 程序可以根據(jù)安全需求進(jìn)行修改。另外，利用系統(tǒng)工具對(duì)各類(lèi)賬號(hào)的操作權(quán)限做限制， 能夠有效保證用戶(hù)無(wú)法超越其賬號(hào)權(quán)限的操 作，確保系統(tǒng)安全。RedHat Linux 系統(tǒng)中的 psacct 程序提供了幾個(gè)進(jìn)程活動(dòng)監(jiān)視工具：ac 、lastcomm 、accton 和 sa 。ac命令顯示用戶(hù)連接時(shí)間的統(tǒng)計(jì).lastcomm 命令顯示系統(tǒng)執(zhí)行的命令 .accton 命令用于打開(kāi)或關(guān)閉進(jìn)程記帳功能 .sa命令統(tǒng)計(jì)系統(tǒng)進(jìn)程記帳的情況.1.3 注意事項(xiàng)在使用 psacct 程序進(jìn)行審計(jì)時(shí)，需要查看其是否安裝，如果沒(méi)有安裝要手動(dòng) 進(jìn)行安裝1.4 操作步驟

3、1.4.1 啟動(dòng) psacct 服務(wù)默認(rèn)情況下， RedHat Linux 系統(tǒng)默認(rèn)安裝了 psacct 程序，只需要系統(tǒng)中啟動(dòng) psacct 服務(wù)，先用 chkconfig 命令查看 psacct 服務(wù)狀態(tài)，如下所示：rootlab2 # chkconfig -list psacctpsacct0:關(guān)閉 1:關(guān)閉 2:關(guān)閉 3:關(guān)閉 4:關(guān)閉 5:關(guān)閉 6:關(guān)閉使用命令 chkconfig 命令啟用默認(rèn)啟動(dòng)，并使用命令 /etc/init.d/psacct start 命令來(lái)啟動(dòng) psacct 服務(wù)，如下所示。rootlab2 # chkconfig psacct onrootlab2 #

4、/etc/init.d/psacct start開(kāi)啟進(jìn)程記帳： 確定 rootlab2 #1.4.2 對(duì)網(wǎng)絡(luò)行為進(jìn)行審計(jì)第一步：顯示用戶(hù)連線(xiàn)時(shí)間的統(tǒng)計(jì)信息可以根據(jù)登陸數(shù) / 退出數(shù)在屏幕上打印出用戶(hù)的連線(xiàn)時(shí)間 （單位為小時(shí) ）?？傆?jì)時(shí) 間也可以打印出來(lái)，如果你執(zhí)行沒(méi)有任何參數(shù)的 ac 命令， 屏幕將會(huì)顯示總計(jì)的連 線(xiàn)時(shí)間。rootlab2 # actotal 102.27顯示每一天的連線(xiàn)統(tǒng)計(jì)時(shí)間：rootlab2 # ac -dJan 12total23.86Jan 13total1.17Jan 14total13.11Jan 15total6.79Jan 26total46.37Todayt

5、otal10.97rootlab2 #顯示每一個(gè)用戶(hù)的總計(jì)連線(xiàn)時(shí)間和所有用戶(hù)總計(jì)連線(xiàn)時(shí)間：rootlab2 # ac -puser19.31user27.62root85.36total102.29rootlab2 #第二步：查找用戶(hù)過(guò)去執(zhí)行的命令可以使用 lastcomm 命令打印出用戶(hù)過(guò)去執(zhí)行的命令 . 你也可以通過(guò)用戶(hù)名 , tty名或命令名來(lái)搜索以往執(zhí)行的命令。比如顯示 user1 用戶(hù)過(guò)去執(zhí)行的命令：rootlab2 # lastcomm user1bashuser1tty10.00 secs Wed Jan 27 06:24iduser1tty10.00 secs Wed Jan

6、27 06:24bashuser1tty10.00 secs Wed Jan 27 06:24iduser1tty10.00 secsWedJan 2706:24bashuser1tty10.00secsWedJan2706:24iduser1tty10.00secsWedJan2706:24unicode_startuser1tty10.01secsWedJan2706:24setfontuser1tty10.04secsWedJan2706:24gzipuser1tty10.00secsWedJan2706:24loadkeysuser1tty10.00secsWedJan2706:24d

7、umpkeysuser1tty10.00secsWedJan2706:24kbd_modeuser1tty10.00secsWedJan2706:24consoletypeuser1tty10.00secsWedJan2706:24bashuser1tty10.00secsWedJan2706:24consoletypeuser1tty10.00secsWedJan2706:24bashuser1tty10.00secsWedJan2706:24iduser1tty10.00secsWedJan2706:24grepuser1tty10.00secsWedJan2706:24bashuser1

8、tty10.00secsWedJan2706:24grepuser1tty10.00secsWedJan2706:24bashuser1tty10.00secsWedJan2706:24egrepuser1tty10.00secsWedJan2706:24bashuser1tty10.00secsWedJan2706:24dircolorsuser1tty10.00 secs Wed Jan 27 06:24bashuser1tty10.00secsWedJan2706:24hostnameuser1tty10.00secsWedJan2706:24bashuser1tty10.00secsW

9、edJan2706:24id user1 tty1 0.00 secs Wed Jan 27 06:24每一行信息都在屏幕上打印出來(lái)，以第一行輸出項(xiàng)為例 :ls user1 tty10.01 secs Tue Jan 12 16:24分析:ls 是進(jìn)程的命令名user1 是執(zhí)行命令的用戶(hù)名tty1 終端名0.01 secs - 進(jìn)程退出時(shí)間 你可以通過(guò)執(zhí)行下面的命令來(lái)搜索進(jìn)程記帳日志，如下所示： rootlab2 # lastcomm lslsrootpts/20.01 secs Wed Jan 27 07:27lsrootpts/20.01 secs Wed Jan 27 07:26lsro

10、otpts/20.01 secs Wed Jan 27 07:26lsrootpts/20.01 secs Wed Jan 27 07:18lsrootpts/20.01 secs Wed Jan 27 06:10lsrootpts/00.01 secs Wed Jan 27 06:08lsuser1pts/00.02 secs Wed Jan 2706:05lsuser1pts/00.01 secs Wed Jan 2706:04lsrootpts/20.01 secs Wed Jan 27 05:52lsrootpts/20.02 secs Wed Jan 27 05:34lsrootpt

11、s/00.01 secs Wed Jan 27 05:32lsrootpts/00.02 secs Wed Jan 27 05:32lsrootpts/00.02 secs Wed Jan 27 05:32lsrootpts/00.04 secs Wed Jan 27 05:28第三步：統(tǒng)計(jì)記帳信息可以使用sa命令打印過(guò)去執(zhí)行命令的統(tǒng)計(jì)信息。另外，sa命令保存了一個(gè)叫做savacct 文件，文件包含了命令被調(diào)用的次數(shù)和資源使用的次數(shù)。而且 sa 還提供每 一個(gè)用戶(hù)的統(tǒng)計(jì)信息， 這些信息保存在一個(gè)叫做 usracct 的文件當(dāng)中。rootlab2 # sa55814065.23re8.81cp1

12、386k851894.22re7.63cp2872k*other*34.67re0.23cp2435kprelink365.75re0.13cp11812kgnome-terminal160.37re0.09cp1210ksort40.32re0.08cp1911krpmq29453.61re0.08cp1597kbash244.73re0.05cp10242kpython21711.27re0.05cp2608kvim80.17re0.05cp1426kuniq640.09re0.04cp1459ksed3168.03re0.04cp1894ksshd27740.25re0.02cp1406

13、k9201.32re0.02cp732klogin1490.20re0.02cp1235kgrep230.02re0.01cp669kpidof20.02re0.01cp1006kxkbcomp170.02re0.01cp1390ksetfont20.33re0.01cp500kreadahead42.97re0.01cp920ktelnetd20.25re0.01cp1570krc17105.96re0.01cp1567ksu4414.52re0.01cp1217kvsftpd*30.13re0.01cp1458kifup-post96.33re0.01cp2337ksendmail*267

14、.03re0.01cp7884keggcups445.49re0.01cp3494kconsolehelper-g以結(jié)果輸出的第一行為例：52882.55re1.15cp分析：2.55re " 實(shí)際時(shí)間 " 單位為分鐘 .1.15cp 系統(tǒng)和用戶(hù)時(shí)間總數(shù) （CPU 時(shí)間, 單位為分鐘 ）1400k 核心使用所占的平均 CPU 時(shí)間 , 一個(gè)單元的大小為 1Kld-linux.so.2 命令名第四步：查看占用 CPU可以使用sa -m命令，如下所示:rootlab2 # sa -m55844065.23re8.81cp1386kroot50213827.02re8.73cp1

15、408kuser13888.79re0.03cp1044kgdm10.19re0.03cp15098kuser21222.90re0.01cp1087knobody278.00re0.01cp1197ksmmsp512.61re0.00cp1808ksshd30.07re0.00cp1549kuser11115.95re0.00cp1218khtt6199.70re0.00cp9635k可以通過(guò)查看 re、k、cp/cpu（ 見(jiàn)上面輸出解釋 ）時(shí)間來(lái)找出可疑的活動(dòng)，或某個(gè)用戶(hù)/命令占用了所有的CPU時(shí)間。如果CPU/Memeory 使用數(shù)（命令）在不斷增加， 可以說(shuō)明命令存在問(wèn)題。1. 5 拓

16、展知識(shí)1.5.1 TCPDUMP羊解tcpdump 是一個(gè)用于截取網(wǎng)絡(luò)分組，并輸出分組內(nèi)容的工具。 tcpdump 憑借強(qiáng)大的功能和靈活的截取策略， 使其成為類(lèi) UNIX 系統(tǒng)下用于網(wǎng)絡(luò)分析和問(wèn)題排查的 首選工具。tcpdump 提供了源代碼，公開(kāi)了接口，因此具備很強(qiáng)的可擴(kuò)展性，對(duì)于網(wǎng)絡(luò)維 護(hù)和入侵者都是非常有用的工具。 tcpdump 存在于基本的 Linux 系統(tǒng)中，由于它需 要將網(wǎng)絡(luò)界面設(shè)置為混雜模式，普通用戶(hù)不能正常執(zhí)行，但具備 root 權(quán)限的用戶(hù)可 以直接執(zhí)行它來(lái)獲取網(wǎng)絡(luò)上的信息。 因此系統(tǒng)中存在網(wǎng)絡(luò)分析工具主要不是對(duì)本機(jī)安 全的威脅，而是對(duì)網(wǎng)絡(luò)上的其他計(jì)算機(jī)的安全存在威脅。一、概

17、述顧名思義，tcpdump可以將網(wǎng)絡(luò)中傳送的數(shù)據(jù)包的頭”完全截獲下來(lái)提供分析。它支持針對(duì)網(wǎng)絡(luò)層、協(xié)議、主機(jī)、網(wǎng)絡(luò)或端口的過(guò)濾，并提供 and 、or 、not 等邏輯 語(yǔ)句來(lái)幫助你去掉無(wú)用的信息。引用# tcpdumpvtcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 96bytes11:53:21.444591 IP (tos 0x10, ttl 64, id 19324, offset 0, flags DF, proto 6,length:92) asptest.localdomain.ssh &g

18、t;44.1858:P3962132600:3962132652(52) ack 2726525936 win 1266asptest.localdomain.1077 > 53.domain:bad udp cksum166e! 325+ PTR? 92.. (46)11:53:21.446929 IP (tos 0x0, ttl 64, id 42911, offset 0, flags DF, proto 17,length:151)53.domain&g

19、t; asptest.localdomain.1077:325NXDomainq:PTR? 92..0/1/0ns:168.192.. (123)11:53:21.447408 IP (tos 0x10, ttl 64, id 19328, offset 0, flags DF, proto 6, length: 172) asptest.localdomain.ssh > 44.1858: P 168:300(132) ack 1 win 1266347 packets captured

20、1474 packets received by filter745 packets dropped by kernel不帶參數(shù)的 tcpdump 會(huì)收集網(wǎng)絡(luò)中所有的信息包頭，數(shù)據(jù)量巨大，必須過(guò)濾。二、選項(xiàng)介紹引用-A 以 ASCII 格式打印出所有分組，并將鏈路層的頭最小化。-c 在收到指定的數(shù)量的分組后， tcpdump 就會(huì)停止。-C 在將一個(gè)原始分組寫(xiě)入文件之前，檢查文件當(dāng)前的大小是否超過(guò)了參數(shù) file_size 中指定的大小。如果超過(guò)了指定大小，則關(guān)閉當(dāng)前文件，然后在打開(kāi)一個(gè) 新的文件。參數(shù) file_size 的單位是兆字節(jié)(是 1,000,000 字節(jié)，而不是 1,048,57

21、6 字節(jié))。-d 將匹配信息包的代碼以人們能夠理解的匯編格式給出。-dd 將匹配信息包的代碼以 c 語(yǔ)言程序段的格式給出。-ddd 將匹配信息包的代碼以十進(jìn)制的形式給出。-D 打印出系統(tǒng)中所有可以用 tcpdump 截包的網(wǎng)絡(luò)接口。-e 在輸出行打印出數(shù)據(jù)鏈路層的頭部信息。-E 用 spiipaddr algo:secret 解密那些以 addr 作為地址，并且包含了安全參 數(shù)索引值 spi 的 IPsec ESP 分組。-f 將外部的 Internet 地址以數(shù)字的形式打印出來(lái)-F 從指定的文件中讀取表達(dá)式，忽略命令行中給出的表達(dá)式。-i 指定監(jiān)聽(tīng)的網(wǎng)絡(luò)接口。-l 使標(biāo)準(zhǔn)輸出變?yōu)榫彌_行形式，

22、可以把數(shù)據(jù)導(dǎo)出到文件。-L 列出網(wǎng)絡(luò)接口的已知數(shù)據(jù)鏈路。-m 從文件 module 中導(dǎo)入 SMI MIB 模塊定義。該參數(shù)可以被使用多次，以導(dǎo) 入多個(gè) MIB 模塊。-M 如果 tcp 報(bào)文中存在 TCP-MD5 選項(xiàng)，則需要用 secret 作為共享的驗(yàn)證碼 用于驗(yàn)證 TCP-MD5 選選項(xiàng)摘要（詳情可參考 RFC 2385 ）。-b 在數(shù)據(jù)-鏈路層上選擇協(xié)議，包括 ip 、arp 、rarp 、ipx 都是這一層的。-n 不把網(wǎng)絡(luò)地址轉(zhuǎn)換成名字。-nn 不進(jìn)行端口名稱(chēng)的轉(zhuǎn)換。-N 不輸出主機(jī)名中的域名部分。例如， 只輸出 'nic 。-t 在輸出的每一行不

23、打印時(shí)間戳。-O 不運(yùn)行分組分組匹配（ packet-matching ）代碼優(yōu)化程序。-P 不將網(wǎng)絡(luò)接口設(shè)置成混雜模式。-q 快速輸出。只輸出較少的協(xié)議信息。-r 從指定的文件中讀取包 （這些包一般通過(guò) -w 選項(xiàng)產(chǎn)生 ）。-S 將 tcp 的序列號(hào)以絕對(duì)值形式輸出，而不是相對(duì)值。-s 從每個(gè)分組中讀取最開(kāi)始的 snaplen 個(gè)字節(jié)，而不是默認(rèn)的 68 個(gè)字節(jié)。-T 將監(jiān)聽(tīng)到的包直接解釋為指定的類(lèi)型的報(bào)文，常見(jiàn)的類(lèi)型有 rpc 遠(yuǎn)程過(guò)程調(diào) 用）和 snmp （簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議； ）。-t 不在每一行中輸出時(shí)間戳。-tt 在每一行中輸出非格式化的時(shí)間戳-ttt 輸出本行和前面一行之間的時(shí)間差

24、。-tttt 在每一行中輸出由 date 處理的默認(rèn)格式的時(shí)間戳。-u 輸出未解碼的 NFS 句柄。-v 輸出一個(gè)稍微詳細(xì)的信息，例如在 ip 包中可以包括 ttl 和服務(wù)類(lèi)型的信息。-vv 輸出詳細(xì)的報(bào)文信息。-w 直接將分組寫(xiě)入文件中，而不是不分析并打印出來(lái)。三、tcpdump 的表達(dá)式介紹表達(dá)式是一個(gè)正則表達(dá)式， tcpdump 利用它作為過(guò)濾報(bào)文的條件，如果一個(gè)報(bào) 文滿(mǎn)足表 達(dá)式的條件，則這個(gè)報(bào)文將會(huì)被捕獲。如果沒(méi)有給出任何條件，則網(wǎng)絡(luò)上 所有的信息包 將會(huì)被截獲。在表達(dá)式中一般如下幾種類(lèi)型的關(guān)鍵字：引用第一 種是 關(guān)于類(lèi)型 的關(guān) 鍵字，主 要包括 host ，net ，port ，例

25、 如 host ， 指明 是一臺(tái)主機(jī)， net 指明 是一 個(gè)網(wǎng)絡(luò)地址， port 23 指明端口號(hào)是 23 。如果沒(méi)有指定類(lèi)型，缺省的類(lèi)型是 host 。第二種是確定傳輸方向的關(guān)鍵字，主要包括 src，dst ，dst or src ，dst and src ， 這些關(guān)鍵字指明了傳輸?shù)姆较颉?舉例說(shuō)明， src ，指明 ip 包中源地址是 ， dst net 指明目的網(wǎng)絡(luò)地址是 。如果沒(méi)有指明 方向關(guān)鍵字，則缺省是 s

26、rc or dst 關(guān)鍵字。第三種是協(xié)議的關(guān)鍵字，主要包括 fddi ，ip，arp，rarp ，tcp ，udp 等類(lèi)型。 Fddi 指明是在 FDDI （ 分布式光纖數(shù)據(jù)接口網(wǎng)絡(luò) ）上的特定的網(wǎng)絡(luò)協(xié)議，實(shí)際上它是”ether ”的別名，fddi和ether具有類(lèi)似的源地址和目的地址，所以可以將fddi 協(xié)議包當(dāng)作 ether 的包進(jìn)行處理和分析。 其他的幾個(gè)關(guān)鍵字就是指明了監(jiān)聽(tīng)的包的 協(xié)議內(nèi)容。如果沒(méi)有指定任何協(xié)議，則 tcpdump 將會(huì) 監(jiān)聽(tīng)所有協(xié)議的信息包。除了這三種類(lèi)型的關(guān)鍵字之外， 其他重要的關(guān)鍵字如下： gateway ， broadcast ， less， greater ，

27、 還有三種邏輯運(yùn)算， 取非運(yùn)算是 not ' '! ， 與運(yùn)算是 'and '，'&&' 或運(yùn)算是 'or '，'|| '； 這些關(guān)鍵字可以組合起來(lái)構(gòu)成強(qiáng)大的組合條件 來(lái)滿(mǎn)足人們的需要。四、輸出結(jié)果介紹下面我們介紹幾種典型的 tcpdump 命令的輸出信息(1) 數(shù)據(jù)鏈路層頭信息使用命令：#tcpdump -e host ICEICE 是一臺(tái)裝有 linux 的主機(jī)。它的 MAC 地址是 0：90 ：27 ：58 ：AF：1A H219 是一臺(tái)裝有 Solaris

28、 的 SUN 工作站。它的 MAC 地址是 8：0：20：79：5B：46； 上 一條命令的輸出結(jié)果如下所示：引用21:50:12.847509 eth0 < 8:0:20:79:5b:46 0:90:27:58:af:1a ip 60: h219.33357 > ICE. telne t 0:0(0) ack 22535 win 8760 (DF)21：50：12 是顯示的時(shí)間， 847509 是 ID 號(hào)， eth0 < 表示從網(wǎng)絡(luò)接口 eth0 接收該分組， eth0 > 表示從網(wǎng)絡(luò)接口設(shè)備發(fā)送分組， 8:0:20:79:5b:46 是主機(jī) H219 的 MAC

29、地址， 它表明是從源地址 H219 發(fā)來(lái)的分組 . 0:90:27:58:af:1a 是主機(jī) ICE 的 MAC 地址， 表示該分組的目的地址是 ICE。 ip 是表明該分組是 IP 分組， 60 是 分組的長(zhǎng)度， h219.33357 > ICE. telnet 表明該分組是從主機(jī) H219 的 33357 端 口發(fā)往主機(jī)ICE的TELNET(23)端口。ack 22535 表明對(duì)序列號(hào)是222535的包進(jìn) 行響應(yīng)。 win 8760 表明發(fā) 送窗口的大小是 8760 。(2) ARP 包的 tcpdump 輸出信息使用命令：#tcpdump arp得到的輸出結(jié)果是：引用22:32:4

30、2.802509 eth0 > arp who-has route tell ICE (0:90:27:58:af:1a)22:32:42.802902 eth0 < arp reply route is-at 0:90:27:12:10:66 (0:90:27:58:af:1a)22:32:42 是時(shí)間戳， 802509 是 ID 號(hào)， eth0 > 表明從主機(jī)發(fā)出該分組， arp 表明是 ARP 請(qǐng)求包， who-has route tell ICE 表明是主機(jī) ICE 請(qǐng)求主機(jī) route 的 MAC 地址。0:90:27:58:af:1a 是主機(jī) ICE 的 MAC 地址。(3) TCP 包的輸出信息用tcpdump捕獲的TCP包的一般輸出信息是：引用src > dst: flags data-seqno ack window urgent optionssrc > dst: 表明從源地址到目的地址， flags 是 TCP 報(bào)文中的標(biāo)志信息， S 是SYN 標(biāo)志， F (FIN)， P (PUSH) ， R (RST) "." ( 沒(méi)有標(biāo)記 ); data-seqno 是報(bào)文中 的數(shù)據(jù) 的順序