配置更改的示例代码审计
此示例代码审核对配置密钥数据的所有更改,并将日志发送到名为 Audit-File 的文件:
[edit system] syslog { file Audit-File { authorization info; change-log info; interactive-commands info; } }
此示例代码扩展了最小审核的范围,以审核对配置的所有更改,而不仅仅是密钥数据,并将日志发送到名为 Audit-File 的文件:
[edit system] syslog { file Audit-File { any any; authorization info; change-log any; interactive-commands info; kernel info; pfe info; } }
示例:系统记录配置更改
此示例显示了一个示例配置,并更改了用户和密钥数据。然后,它会显示当密钥数据添加到原始配置并使用命令提交 load
时发送到审计服务器的信息。
[edit system] location { country-code US; building B1; } ... login { message "UNAUTHORIZED USE OF THIS ROUTER\n\tIS STRICTLY PROHIBITED!"; user admin { uid 2000; class super-user; authentication { encrypted-password “$ABC123”; # SECRET-DATA } } } radius-server 192.0.2.15 { secret “$ABC123” # SECRET-DATA } services { ssh; } syslog { user *{ any emergency; } file messages { any notice; authorization info; } file interactive-commands { interactive-commands any; } } ... ...
新的配置会更改密钥数据配置语句并添加新用户。
security-administrator@host:fips# show | compare [edit system login user admin authentication] – encrypted-password “$ABC123”; # SECRET-DATA + encrypted-password “$ABC123”; # SECRET-DATA [edit system login] + user admin2 { + uid 2001; + class operator; + authentication { + encrypted-password “$ABC123”; # SECRET-DATA + } + } [edit system radius-server 192.0.2.15] – secret “$ABC123”; # SECRET-DATA + secret “$ABC123”; # SECRET-DATA
表 1 显示了 NDcPPv2.2e 系统日志审核示例:
要求 |
可审计事件 |
其他审计记录内容 |
如何生成事件 |
---|---|---|---|
FAU_GEN.1 |
没有 |
没有 |
|
FAU_GEN.2 |
没有 |
没有 |
|
FAU_STG_EXT.1 |
没有 |
没有 |
|
FAU_STG.1 |
没有 |
没有 |
|
FCS_CKM.1 |
没有 |
没有 |
|
FCS_CKM.2 |
没有 |
没有 |
|
FCS_CKM.4 |
没有 |
没有 |
|
FCS_COP.1/数据加密 |
没有 |
没有 |
|
FCS_COP.1/SigGen |
没有 |
没有 |
|
FCS_COP.1/哈希 |
没有 |
没有 |
|
FCS_COP.1/KeyedHash |
没有 |
没有 |
|
FCS_COP.1 (1) |
没有 |
没有 |
|
FCS_COP.1 |
没有 |
没有 |
|
FCS_RBG_EXT.1 |
没有 |
没有 |
|
FIA_PMG_EXT.1 |
没有 |
没有 |
|
FIA_UIA_EXT.1 |
所有使用识别和身份验证机制。 |
尝试的起源(例如 IP 地址) |
成功本地登录 1 月 3 日 09:59:36 登录[7637]:LOGIN_INFORMATION:用户 root 从设备 ttyu0 上的主机 [未知] 登录 1 月 3 日 09:59:36 登录[7637]:LOGIN_ROOT:用户 root 以 root 身份登录,从主机 [未知] 设备 ttyu0 本地登录失败 1 月 3 日 09:57:52 登录[7637]:LOGIN_PAM_AUTHENTICATION_ERROR:root 用户密码失败 1 月 3 日 09:57:52 登录[7637]:LOGIN_FAILED:主机 ttyu0 的用户 root 登录失败 成功远程登录 1 月 3 日 09:32:07 mgd[47035]:UI_AUTH_EVENT:已认证用户 'test1' 分配给 “j-read-only” 类 1 月 3 日 09:32:07 mgd[47035]:UI_LOGIN_EVENT:用户 'test1' 登录, 类 “j-read-only” [47035],ssh-connection '10.1.5.153 36784 10.1.2.68 22',客户端模式 'cli' 远程登录失败 1 月 3 日 09:26:56 sshd:SSHD_LOGIN_FAILED:用户“test1”从主机 “10.1.5.153” 登录失败 |
FIA_UAU_EXT.2 |
所有使用识别和身份验证机制。 |
尝试的起源(例如 IP 地址) |
成功本地登录 1 月 3 日 09:59:36 登录[7637]:LOGIN_INFORMATION:用户 root 从主机登录 [未知] 设备 ttyu0 1 月 3 日在设备上 ttyu0 09:59:36 登录[7637]:LOGIN_ROOT:用户 root 以主机根身份登录 [未知] 设备 ttyu0 本地登录失败 1 月 3 日 09:57:52 登录[7637]:LOGIN_PAM_AUTHENTICATION_ERROR:root 用户密码失败 1 月 3 日 09:57:52 登录[7637]:LOGIN_FAILED:主机 ttyu0 的用户 root 登录失败 成功远程登录 1 月 3 日 09:32:07 mgd[47035]:UI_AUTH_EVENT:已认证用户 'test1' 分配给 “j-read-only” 类 1 月 3 日 09:32:07 mgd[47035]:UI_LOGIN_EVENT:用户 'test1' 登录, 类 “j-read-only” [47035],ssh-connection '10.1.5.153 36784 10.1.2.68 22',客户端模式 'cli' 远程登录失败 1 月 3 日 09:26:56 sshd:SSHD_LOGIN_FAILED:用户“test1”从主机 “10.1.5.153” 登录失败 |
FIA_UAU.7 |
没有 |
没有 |
|
FMT_MOF.1/手动更新 |
任何启动手动更新的尝试 |
没有 |
12 月 28 日 21:51:21 mgd[8007]:UI_CMDLINE_READ_LINE:用户'root',命令 '请求 vmhost 软件添加 /var/tmp/junosvmhost-installmx-x86-64-19.1-20181231.0.tgz no-validate' |
FMT_MTD.1/CoreData |
没有 |
没有 |
|
FMT_SMF.1 |
TSF 数据的所有管理活动 |
没有 |
请参阅此表列出的审计事件。 |
FMT_SMR.2 |
没有 |
没有 |
|
FPT_SKP_EXT.1 |
没有 |
没有 |
|
FPT_APW_EXT.1 |
没有 |
没有 |
|
FPT_TST_EXT.1 |
没有 |
没有 |
在命令行输入 或 重新启动设备以查看启动期间的自测。 |
FPT_TUD_EXT.1 |
启动更新;更新尝试的结果(成功或失败) |
没有 |
12 月 28 日 21:51:21 mgd[8007]:UI_CMDLINE_READ_LINE:用户'root',命令 '请求 vmhost 软件添加 /var/tmp/junos-add vmhost-install-mxx86-64-19.1-20181231.0.tgz no-validate' |
FPT_STM_EXT.1 |
对时间的连续更改 - 管理员执行操作或通过自动化流程进行更改。(请注意,无需记录连续的时间更改。另请参阅FPT_STM_EXT.1 上的应用说明 |
对于不连续的时间更改:时间的新旧值。尝试更改成功和失败时间的源头(例如 IP 地址)。 |
4 月 22 15:31:37 mgd[11121]:UI_CMDLINE_READ_LINE:用户'root',命令'设置日期 201904221532.00 4 月 22 日 15:32:05 mgd[11121]: UI_CMDLINE_READ_LINE: 用户 'root' , 命令 '显示系统正常运行时间' |
FPT_STM_EXT.1 FTA_SSL_EXT.1(如果“选择终止会话”) |
通过会话锁定机制终止本地交互式会话。 |
没有 |
1 月 3 日 11:59:29 cli: UI_CLI_IDLE_TIMEOUT: 用户 “root” 超过和会话终止的空闲超时 |
FTA_SSL.3 |
通过会话锁定机制终止远程会话。 |
没有 |
1 月 3 日 11:26:23 cli:UI_CLI_IDLE_TIMEOUT:超过用户“root”和会话终止的空闲超时 |
FTA_SSL.4 |
交互式会话的终止。 |
没有 |
当地 1 月 3 日 11:47:25 mgd[52521]: UI_LOGOUT_EVENT: 用户 “root” 退出 远程 1 月 3 日 11:43:33 sshd[52425]:收到 10.1.5.153 端口 36800:11:因用户断开连接 |
FTA_TAB.1 |
没有 |
没有 |
|
FTP_ITC.1 |
启动可信通道。可信渠道终止。可信通道功能故障。 |
识别发起方和失败的可信通道建立尝试的目标。 |
启动可信路径 1 月 3 日 12:09:00 sshd[53492]:从 10.1.5.153 端口 36802 ssh2 接受的键盘交互/pam 可信路径终止 1 月 3 日 12:09:03 sshd[53492]:收到从 10.1.5.153 端口 36802:11:因用户 1 月 3 日 12:09:36 sshd 断开连接: 可信路径故障 SSHD_LOGIN_FAILED:从主机 “10.1.5.153” 对用户 “root” 登录失败 |
FTP_TRP.1/管理员 |
启动可信路径。可信路径的终止。可信路径功能故障。 |
没有 |
启动可信路径 1 月 3 日 12:09:00 sshd[53492]:从 10.1.5.153 端口 36802 ssh2 接受的键盘交互/pam 可信路径终止 1 月 3 日 12:09:03 sshd[53492]:收到从 10.1.5.153 端口 36802:11:因用户 1 月 3 日 12:09:36 sshd 断开连接: 可信路径故障 SSHD_LOGIN_FAILED:从主机 “10.1.5.153” 对用户 “root” 登录失败 |
FCS_SSHS_EXT.1 |
无法建立 SSH 会话 |
失败原因 |
12 月 17 15:02:12 sshd[9842]:无法与 10.1.5.153 端口 43836 进行协商:未找到匹配密钥交换方法。他们的产品:diffie-hellman-group1-sha1、ext-info-c |
FIA_X509_EXT.1/Rev |
尝试验证证书失败 TOE 的信任存储中的任何信任锚点 |
证书验证失败的原因在 TOE 的信任存储区中作为信任锚点添加、替换或移除的证书识别 |
12 月 28 22:20:23 veriexec[9371]:无法验证 /软件包/db/pkginst。9286/manifest.ecerts:主题发行人不匹配: /C=CN/ST=CA/L=Sunnyvale/O=瞻博网络/OU=瞻博网络 CA/CN=PackageProductionTestEc_2017_NO_DEFECTS/emailAddress=ca@juniper.net |
FIA_X509_EXT.2 |
没有 |
没有 |
|
FPT_TUD_EXT.2 |
更新失败 |
失败原因(包括无效证书的标识符) |
12 月 28 22:20:23 veriexec[9371]:无法验证 /软件包/db/pkginst。9286/manifest.ecerts: 主题发行人不匹配: /C=CN/ST=CA/L=Sunnyvale/O=瞻博网络/OU=瞻博网络 CA/CN=PackageProductionTestEc_2017_NO_DEFECTS/emailAddress=ca@juniper.net |
FMT_MOF.1/功能 |
没有 |
没有 |
|
FMT_MOF.1/服务 |
没有 |
没有 |
|
FMT_MTD.1/加密密钥 |
没有 |
没有 |
|
FIA_AFL.1 |
由于过度的身份验证失败,管理员锁定 |
没有 |
1 月 3 日 08:13:59 sshd:SSHD_LOGIN_ATTEMPTS_THRESHOLD:用户“test1”达到的不成功身份验证尝试 (2) 阈值 |