一、等保测评
- 等保之Linux测评操作步骤
- 等保测评–计算环境之服务器设备安全(一)
- 等保2.0 安全计算环境-服务器-Linux(三级系统)
[root@localhost ~]# service auditd status
[root@localhost ~]# service rsyslog status
====> 显示running为开启服务
-
HDIS:EventLog Analyzer日志管理、审计、分析服务器部署教程(Linux版本):
使用 service eventloganalyzer start启动服务 -
如何启动和关闭EventLog Analyzer -
【译】13款入侵检测系统介绍 -
等保2.0数据库测评之MySQL数据库测评(上) -
MySQL入门篇(七)之Xtrabackup备份与恢复 -
等保测评(windows服务器) -
history修改限制条数:
echo $HISTSIZE 查询设置的条数
vim /etc/profile,修改 HISTSIZE为需要的条数
source /etc/profile //使其立即生效
- 等保测评 安全计算环境 之 windows操作系统
- 等级保护测评2.0 mysql 数据库
- 安装密码校验插件validate_password:
mysql自带,安装即可
二、 linux命令
Linux使用systemctl设置程序开机自启动
systemctl 可以使用的service路径:/etc/systemd/system/
查看系统服务状态(是否成功启动)
# systemctl status myapp.service -l
1. 将服务设置成开机自启动
# systemctl enable myapp.service
# systemctl list-unit-files|grep myapp
myapp.service enabled
取消开机启动:
# systemctl disable myapp.service
# systemctl list-unit-files|grep myapp
myapp.service disabled
查看服务的控制台日志
相当于tail -f。
# journalctl -flu myapp.service
查看所有的开机启动的项目:
systemctl list-unit-files |grep enabled
三、linux杀毒软件
6 款适用于 Linux 的最佳免费杀毒软件
Linux病毒扫描工具ClamAV(Clam AntiVirus)安装使用
centos 安装ClamAV 杀毒工具并安装离线病毒库
官方文档
3.1 单机不联网运行
mv ./clamd.conf.example ./clamd.conf
配置
vim ./clamd.conf
# Path to a local socket file the daemon will listen on.
# Default: disabled (must be specified by a user)
LocalSocket /tmp/clamd.socket
...
# Sets the permissions on the unix socket to the specified mode.
# Default: disabled (socket is world accessible)
LocalSocketMode 660
启动服务
clamd
3.2 命令扫描
clamav有两个命令:clamdscan、clamscan
clamdscan命令一般用yum安装才能使用,需要启动clamd服务,执行速度快
clamscan命令通用,不依赖服务,命令参数较多,执行速度稍慢
clamdscan:
#service clamd start
用clamdscan扫描,需要开始服务才能使用。速度快,不用带-r,默认会递归扫描子目录
#clamdscan /usr
clamscan:
用clamscan扫描,不需要开始服务就能使用。速度慢,要带-r,才会递归扫描子目录
#clamscan -r /usr
这个命令不仅会显示找到的病毒,正常的扫描文件也会显示出来。
可以用下面这个命令,只显示找到的病毒信息
# clamscan --no-summary -ri /tmp
-r 递归扫描子目录
-i 只显示发现的病毒文件
--no-summary 不显示统计信息
可以写个脚本,用这句命令定期扫描,有返回值即触发告警。
service eventloganalyzer start 启动服务
官方文档
TRIPWIRE的安装使用
下载地址:http://sourceforge.net/projects/tripwire/files/
1.rpm -ivh tripwire-2.3.1-22.el4.i386.rpm
2.修改/etc/tripwire/twpol.txt文件,自定义需要监控的文件
如:在文件的最后加入如下内容,关于其中的属性标记可以通过man twpolicy查看
# Test Web GUI File
(
rulename = "Test Web GUI File",
severity = $(SIG_HI)
)
{
/var/www/html/test -> $(SEC_CONFIG) ;
}
3.执行/usr/sbin/tripwire-setup-keyfiles,设置site和local密码,并对配置文件和规则文件进行加密
设置site pass(用于加密twpol.txt和twcfg.txt),在/etc/tripwire目录下产生site.key
设置local pass(用于加密指纹数据库时使用),在/etc/tripwire目录下产生
H
O
S
T
N
A
M
E
?
l
o
c
a
l
.
k
e
y
(如
m
a
i
l
.
t
e
s
t
.
c
o
m
?
l
o
c
a
l
.
k
e
y
)
4.
t
r
i
p
w
i
r
e
?
?
i
n
i
t
建立指纹数据库
,
期间会提示输入
l
o
c
a
l
p
a
s
s
密码在
/
v
a
r
/
l
i
b
/
t
r
i
p
w
i
r
e
/
目录下生成
HOSTNAME-local.key(如mail.test.com-local.key) 4.tripwire --init 建立指纹数据库,期间会提示输入local pass密码 在/var/lib/tripwire/目录下生成
HOSTNAME?local.key(如mail.test.com?local.key)4.tripwire??init建立指纹数据库,期间会提示输入localpass密码在/var/lib/tripwire/目录下生成HOSTNAME.twd文件(即指纹数据库文件,如mail.test.com.twd)
5.tripwire --check --interactive
对比指纹数据库,检查系统是否进行了改动,最后会显示报告清单
|