深入探究 Linux 系统安全技术
1. 用户账户监控
用户账户常被用于对系统的恶意攻击,攻击者可能通过未经授权访问现有账户、创建新的虚假账户或留下账户以便日后访问。为避免此类安全问题,监控用户账户至关重要。
1.1 检测假冒新账户和特权
未经适当授权创建的账户应被视为假冒账户。此外,以任何方式修改账户,使其获得不同的未经授权的用户标识(UID)号码或添加未经授权的组成员身份,都属于权限提升。监控/etc/passwd和/etc/group文件可以发现这些潜在的违规行为。
可以使用审计守护进程(audit daemon)来监控/etc/passwd和/etc/group文件。审计守护进程是一个功能强大的审计工具,允许选择要跟踪的系统事件并记录它们,还具备报告功能。
开始审计/etc/passwd和/etc/group文件,需要使用auditctl命令,启动此过程至少需要两个选项:
--w filename:对指定文件设置监控。审计守护进程通过文件的 inode 号码跟踪文件,inode 号码是包含文件信息(包括其位置)的数据结构。
--p trigger(s):如果指定文件发生以下任何一种访问类型(r=读,w=写,x=执行,a=属性更改),则触发审计记录。
以下是使用auditct
