是誰在撩動著我的服務(wù)器

            安全--怎樣才能追根朔源

    有人說安全，安全是什么，怎么做，怎么才能做好，其實是個永無止境的話題。

淺談下工作中那些方法：

1、所有的操作都必須流程化，可控化。

2、考核機制。

3、相應(yīng)的技術(shù)手段，提升安全的門檻<系統(tǒng)權(quán)限管理、堡壘機、跳板機、防火墻設(shè)置>。

4、主動防御。<蜜罐、waf>

5、探測技術(shù)。<nmap zmap>

6、告警響應(yīng)機制。

7、調(diào)查告警原因。

那就談?wù)勗趺磳崿F(xiàn)：

原理圖

• 怎么監(jiān)控惡意行為

工欲善其事，必先利其器

怎么監(jiān)控 Windows server服務(wù)器  配置安全-高級審核策略，怎么配置，請聽我慢慢到來。

實例如下：《可根據(jù)生產(chǎn)環(huán)境，斟酌采取各種日志，一下只是實例》

• 本地會產(chǎn)生日志，怎么將日志發(fā)送到遠(yuǎn)端日志服務(wù)器，簡單圖上面已經(jīng)標(biāo)明，利用evtsys.exe 發(fā)送到指定的log服務(wù)器。

• Linux 服務(wù)器開啟審計策略

1.1    命令時間戳記錄

    在/etc/bashrc文件中增加如下行

    export  HISTTIMEFORMAT="%F %T "

2.1    日志審計策略配置

    /etc/audit/audit.rules

        實現(xiàn)監(jiān)控所有用戶的登錄行為，包含用戶所有操作，以及shell腳本中的命令

    -a exit,always-F arch=b64 -S execve -k exec

    -a exit,always -Farch=b32 -S execve -k exec

2.2  實現(xiàn)對重點配置文件的監(jiān)控（根據(jù)實際應(yīng)用額外添加文件列表）    

    -w /etc/crontab -p wa -kcrontab

    -w /etc/hosts -p wa -khosts

    -w /etc/hosts.allow-p wa -k hosts-allow

    -w /etc/hosts.deny-p wa -k hosts-deny

    -w /etc/fstab -p wa -k fstab

    -w /etc/passwd-p wa -k passwd

    -w /etc/shadow-p wa -k shadow

    -w /etc/group-p wa -k group

3.1    

    配置audit日志，audit日志文件自動保存在/var/log/audit/目錄中。

    num_logs = 4       #個數(shù)

    max_log_file = 50   # 大小(MB)

4.1    添加無用日志過濾規(guī)則：

    在/etc/rsyslog.d/目錄添加audit_filter.conf文件，并在文件中添加如下內(nèi)容：

:msg, ereregex,"(bin|sbin|sa)\/(ping|top|mpstat|iostat|iotop|vmstat|sar|sadc|sh)\""~

:msg, ereregex,"(sbin|udev)\/(fstab_import|udisks-part-id|path_id|edd_id|scsi_id)\""~

:msg, ereregex,"(bin|sbin)\/(tr|sort|wc|cut|awk|gawk|grep|fgrep|egrep|sed|head|tail|tailf)\""~

:msg, ereregex,"(bin|sbin)\/(sleep|ls|expr|nohup|date|cat|du|dirname|tar|gzip|df|sg_persist|ip)\""~

:msg, ereregex,"(bin|sbin)\/(basename|hostname|readlink|bc|touch|dmesg)\"" ~

:msg, ereregex,"(bin|sbin)\/(consoletype|blkid|lsblk)\"" ~

:msg, ereregex,"\"(ping|top|mpstat|iostat|iotop|vmstat|sar|sadc|sh)\"" ~

:msg, ereregex,"\"(fstab_import|udisks-part-id|path_id|edd_id|scsi_id)\""~

:msg, ereregex,"\"(tr|sort|wc|cut|awk|gawk|grep|fgrep|egrep|sed|head|tail|tailf)\""~

:msg, ereregex,"\"(sleep|ls|expr|nohup|date|cat|du|dirname|tar|gzip|df|sg_persist|ip)\""~

:msg, ereregex,"\"(basename|hostname|readlink|bc|touch|dmesg)\"" ~

:msg, ereregex,"\"(consoletype|blkid|lsblk)\"" ~

:msg, ereregex,"(type=PATH)" ~

:msg, ereregex,"(key=\"exec\"|type=EXECVE)" @x.x.x.x:514

啟動服務(wù)

# service auditd start

  # service rsyslog start

5.1     附上一個批量部署的腳本

#!/bin/bash
#
# Description: Linux audit and syslog/rsyslog autoconfig Scripts.
#
# Author: ldyhj <qiongfei@vip.qq.com>
#
# ver 1.0
# --------------------------------------------------------------------------------

OS_VERSION=""
uname -r | grep el5 > /dev/null && OS_VERSION=el5
uname -r | grep el6 > /dev/null && OS_VERSION=el6
uname -r | grep el7 > /dev/null && OS_VERSION=el7

if [ "$OS_VERSION" = "el7" -o "$OS_VERSION" = "el6" ];then
    FILENAME=/etc/rsyslog.conf
    SERVER=rsyslog
elif [ "$OS_VERSION" = "el5" ];then
    FILENAME=/etc/syslog.conf
    SERVER=syslog	
fi

unset ret
ret=`egrep ^active[[:space:]]*= /etc/audisp/plugins.d/syslog.conf 2> /dev/null |wc -l`
if [ "$ret" -eq 0 ];then
    echo "active = yes" >> /etc/audisp/plugins.d/syslog.conf
    service auditd restart
elif [ "$ret" -eq 1 ];then
    ret1=`egrep ^active[[:space:]]*= /etc/audisp/plugins.d/syslog.conf |awk -F'=' '{print $NF}' |awk 'gsub(/^ *| *$/,"")'`
    if [ "$ret1" != "yes" ];then
        sed -i 's/^\(active[[:space:]]*=\).*/\1 yes/g' /etc/audisp/plugins.d/syslog.conf
        service auditd restart
	fi
elif [ "$ret" -gt 1 ];then
    sed -i 's/^\(active[[:space:]]*=.*\)/#\1/g' /etc/audisp/plugins.d/syslog.conf
    echo "active = yes" >> /etc/audisp/plugins.d/syslog.conf
    service auditd restart
fi
egrep ^active[[:space:]]*= /etc/audisp/plugins.d/syslog.conf

unset ret
unset ret1

ret=`egrep "^\*\.\*[[:space:]]*@" $FILENAME 2> /dev/null |wc -l`
if [ "$ret" -eq 0 ];then
    echo "*.* @x.x.x.x:514" >> $FILENAME
    service $SERVER restart
elif [ "$ret" -eq 1 ];then
    ret1=`egrep "^\*\.\*[[:space:]]*@" $FILENAME |awk -F'@' '{print $2}' |awk 'gsub(/^ *| *$/,"")'`
	if [ "$ret1" != "x.x.x.x:514" ];then
        sed -i 's/^\(\*\.\*[[:space:]]*@\).*/\x.x.x.x:514/g' $FILENAME
        service $SERVER restart
    fi
elif [ "$ret" -gt 0 ];then
    sed -i 's/^\(\*\.\*[[:space:]]*@.*\)/#\1/g' $FILENAME
    echo "*.* @x.x.x.x:514" >> $FILENAME
    service $SERVER restart
fi
	
egrep "\*\.info[[:space:]]*@" $FILENAME > /dev/null
if [ $? -eq 0 ];then
    sed -i 's/^\(\*\.info[[:space:]]*@.*\)/#\1/g' $FILENAME
    service $SERVER restart
fi

egrep "^\*\.\*[[:space:]]*@" $FILENAME

6.1    linux rsyslog服務(wù)器  配置

    /etc/rsyslog.conf

    配置模板

$templatepipeformat,"%TIMESTAMP% %fromhost-ip%%syslogtag%%msg:::drop-last-lf%\n"

$templateevtsysformat,"%TIMESTAMP% %fromhost-ip% %pri-text% %FROMHOST%%fromhost-ip% %syslogtag%%msg:::drop-last-lf%\n"

$templateruncmdformat,"%TIMESTAMP% %HOSTNAME% %fromhost-ip%%msg:::drop-last-lf%\n"

                根據(jù)需求進(jìn)行摘選模板存放位置

if$fromhost-ip == 'IP' or $fromhost-ip == '接收來自客戶端IP' or $fromhost-ip== '接收IP' or $fromhost-ip == '接收客戶端IP' or $fromhost-ip =='接收客戶端IP' or $fromhost-ip == '接收客戶端IP' or $fromhost-ip =='接收客戶端IP' then |/var/tmp/log

    配置完成后，檢查語法  rsyslogd -N1

    重啟服務(wù)

有了數(shù)據(jù)，你想實現(xiàn)什么樣的告警都需要去摸索

目前，我采用的是電視屏幕展示，加事件風(fēng)險等級做報警短信告警，因為采用了固定的rsyslog模板，可以使用 AWK  python 取你想要的東西做參數(shù)；這樣實現(xiàn)誰操作了服務(wù)器，做了什么都是一目了然。

附件、附上本次需要設(shè)計到的文檔，軟件