欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

Linux系统安全危急反应知识探讨

来源:本站整理 作者:佚名 时间:2017-09-26 TAG: 我要投稿
改动776行

syslog (SYSLOG_FACILITY|SYSLOG_LEVEL, "PID=%d UID=%d User=%s Cmd=%s", getpid(), current_user.uid, current_user.user_name, trunc);
2)再改动config-top.h
去掉115行/**/
syslog的FACILITY为 user,日记级别为info
3)

./configure --prefix=/usr/local/bash && make && make install
将/usr/local/bash/bin/bash拷贝进去
备份线上办事器原/bin/bash

[root@localhost ~]# mv /bin/bash /bin/bashbak
RZ放到线上办事器
改动权限为755
4)改动rsyslog设置装备摆设,这里咱们先输入到当地测试一下
[root@zaojiasys_31 admin]# touch /var/log/bash.log
[root@zaojiasys_31 admin]# vim /etc/rsyslog.conf
增长user.info /var/log/bash.log
[root@zaojiasys_31 admin]# service rsyslog restart
[root@zaojiasys_31 admin]# tail -f /var/log/bash.log
Jul 25 16:22:15 localhost bash[18540]: PID=18540 UID=0 User=root Cmd=tail -f /var/log/bash.log
Jul 25 16:22:21 localhost bash[19033]: PID=19033 UID=0 User=root Cmd=whoami
5)
[root@zaojiasys_31 admin]# vim /etc/rsyslog.conf
改动*.info;mail.none;authpriv.none;cron.none;local6.none;user.none /var/log/messages 增长user.none
增长user.info @10.110.1.33:3514
利用ELK,起首设置装备摆设logstash
input {
    syslog{ 
        port => "3514" 
        type => "bash"
    } 
}
filter {
    grok{
        match => {
            "message" => "PID=%{NUMBER:processid} UID=%{NUMBER:uid} User=%{WORD:user} Cmd=%{GREEDYDATA:cmd}"
        }
    }
    date {
        match => ["timestamp", "妹妹M dd HH:妹妹:ss"]
        target => "@timestamp"
        "locale" => "en"
        timezone => "UTC"
    }
    mutate {
        remove_field => [ "message" ]
    }
}
output {
   if "_grokparsefailure" not in [tags] {
        elasticsearch {
            hosts => "10.110.1.33:9200"
            index => "bash_%{+YYYY.妹妹.dd}"
        }
    }
}
Elasticsearch 增长模板
curl -XPUT 10.59.0.248:9200/_template/template_bash -d '
{
   "template": "bash_*",
   "order" : 10,
   "settings" : {
      "number_of_shards": 5,
      "number_of_replicas": 0
   },
   "mappings" : {
    "_default_" : {
      "_all" : {"enabled" : true, "omit_norms" : true},
      "properties" : {
        "@timestamp": { "type": "date" },
        "host": { "type": "keyword"},
        "cmd": { "type": "keyword"},
        "user": { "type": "keyword"},
        "uid": { "type": "integer"},
        "processid": { "type": "integer"}
      }
    }
  }
}
反省Kibana

[root@server120 ~]# ll /bin/sh
lrwxrwxrwx. 1 root root 4 3月 21 2016 /bin/sh -> bash
/bin/sh是软链到/bin/bash的,/bin/sh也能够或许审计到。
别的禁用其余的shell:
# chmod 750 /bin/csh
# chmod 750 /bin/tcsh
# chmod 750 /bin/dash
0x07 开机启动
在应急相合时,开机启动项是必查的项,下面梳理一下对于开机启动与办事相干必要排查的点。间接从init开端说。
RHEL5、RHEL6、RHEL7的init体系分别为sysvinit、upstart、systemd。这里CentOS7临时不表,因为临盆情况绝大部门都是CentOS6,大批的CentOS5。
CentOS 5:
init法式会读取init的设置装备摆设文件/etc/inittab,并根据此文件来结束初始化事情。/etc/inittab文件重要感化是指定运转级别,运行体系初始化剧本(/etc/rc.d/rc.sysinit),启动响应运转级别下的办事和启动终端。

上一页  [1] [2] [3] [4] [5] [6] [7] [8] [9]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载