欢迎来到我们的关于服务器安全性的第3部分。正如我们之前的文章所述,网络连接服务器上的网络攻击处于历史最高点。如果您没有采取措施积极保护您的服务器,那么您的机器将受到威胁。在第三个 关于这个主题的文章中,我们将看一下文件审计和入侵检测系统,以及如何将其纳入到服务器安全计划中。
什么是文件审计和入侵检测系统?
文件审核系统用于检测和记录对已知健康文件系统的更改。对未知的干净服务器配置的未经授权的更改是有人证明有人已经未经授权访问您的服务器。收集文件审核数据后,需要对数据进行聚合,归一化和分析,以便可以检测到任何潜在的未经授权的活动。寻找未经授权的文件更改并报告的软件通常被称为入侵检测系统或IDS。基于Windows的服务器已经能够长时间地执行此操作,但是基于Linux的系统在2003年12月引入Linux 2.6内核审计系统之前没有审计功能。
为什么要使用文件审计和入侵检测系统?
在安全问题成为问题之前告知您安全问题是主动安全策略的一个组成部分。知道您的服务器的文件已被篡改,您可以尽快对安全问题做出反应。当事件发生时,您需要确定发生了什么事情以及负责人,审计系统可以帮助您快速跟踪问题。
他们如何工作?
许多入侵检测系统实时扫描文件以进行未经授权的活动,而某些文件审核系统会扫描服务器上的文件,并将其与已知的“干净”文件集在预定的间隔内进行比较。
许多审核系统将发生的活动记录到服务器上的所有文件中。能够记录的一些信息是:
事件的日期和时间,类型和结果。
科目和物体的灵敏度标签。
事件与触发事件的用户身份的关联。
对Audit配置的所有修改以及尝试访问Audit日志文件。
认证机制的所有用途,如SSH,Kerberos等。
对任何可信数据库的更改,如/etc/passwd。
尝试将信息导入或导出到系统中。
根据用户身份,主题和对象标签以及其他属性来包含或排除事件。
关于文件审计的另一个值得注意的一点是使用审计系统也是一些安全相关认证的要求,如:
受控访问保护配置文件(CAPP)
标签安全保护配置文件(LSPP)
规则集访问控制(RSBAC)
国家工业安全计划操作手册(NISPOM)
联邦信息安全管理法案(FISMA)
支付卡行业 – 数据安全标准(PCI-DSS)
安全技术实施指南(STIG)
如何设置文件审计和入侵检测系统?
服务器审核软件的设置过程取决于服务器的操作系统。有关如何在Linux服务器上安装示例审计系统的概述,请点击此处。有关Windows服务器上的过程的演练,请点击此处。