Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

配置更改的示例代码审计

此示例代码审核对配置密钥数据的所有更改,并将日志发送到名为 Audit-File 的文件:

此示例代码扩展了最小审核的范围,以审核对配置的所有更改,而不仅仅是密钥数据,并将日志发送到名为 Audit-File 的文件:

示例:系统记录配置更改

此示例显示了一个示例配置,并更改了用户和密钥数据。然后,它会显示当密钥数据添加到原始配置并使用命令提交 load 时发送到审计服务器的信息。

新的配置会更改密钥数据配置语句并添加新用户。

表 1 显示了 NDcPPv2.2e 系统日志审核示例:

表 1:可审计事件

要求

可审计事件

其他审计记录内容

如何生成事件

FAU_GEN.1

没有

没有

FAU_GEN.2

没有

没有

FAU_STG_EXT.1

没有

没有

FAU_STG.1

没有

没有

FCS_CKM.1

没有

没有

FCS_CKM.2

没有

没有

FCS_CKM.4

没有

没有

FCS_COP.1/数据加密

没有

没有

FCS_COP.1/SigGen

没有

没有

FCS_COP.1/哈希

没有

没有

FCS_COP.1/KeyedHash

没有

没有

FCS_COP.1 (1)

没有

没有

FCS_COP.1

没有

没有

FCS_RBG_EXT.1

没有

没有

FIA_PMG_EXT.1

没有

没有

FIA_UIA_EXT.1

所有使用识别和身份验证机制。

尝试的起源(例如 IP 地址)

成功本地登录

1 月 3 日 09:59:36 登录[7637]:LOGIN_INFORMATION:用户 root 从设备 ttyu0 上的主机 [未知] 登录

1 月 3 日 09:59:36 登录[7637]:LOGIN_ROOT:用户 root 以 root 身份登录,从主机 [未知] 设备 ttyu0

本地登录失败

1 月 3 日 09:57:52 登录[7637]:LOGIN_PAM_AUTHENTICATION_ERROR:root 用户密码失败

1 月 3 日 09:57:52 登录[7637]:LOGIN_FAILED:主机 ttyu0 的用户 root 登录失败

成功远程登录

1 月 3 日 09:32:07 mgd[47035]:UI_AUTH_EVENT:已认证用户 'test1' 分配给 “j-read-only” 类 1 月 3 日 09:32:07 mgd[47035]:UI_LOGIN_EVENT:用户 'test1' 登录, 类 “j-read-only” [47035],ssh-connection '10.1.5.153 36784 10.1.2.68 22',客户端模式 'cli'

远程登录失败

1 月 3 日 09:26:56 sshd:SSHD_LOGIN_FAILED:用户“test1”从主机 “10.1.5.153” 登录失败

FIA_UAU_EXT.2

所有使用识别和身份验证机制。

尝试的起源(例如 IP 地址)

成功本地登录

1 月 3 日 09:59:36 登录[7637]:LOGIN_INFORMATION:用户 root 从主机登录 [未知] 设备 ttyu0 1 月 3 日在设备上 ttyu0 09:59:36 登录[7637]:LOGIN_ROOT:用户 root 以主机根身份登录 [未知] 设备 ttyu0

本地登录失败

1 月 3 日 09:57:52 登录[7637]:LOGIN_PAM_AUTHENTICATION_ERROR:root 用户密码失败

1 月 3 日 09:57:52 登录[7637]:LOGIN_FAILED:主机 ttyu0 的用户 root 登录失败

成功远程登录

1 月 3 日 09:32:07 mgd[47035]:UI_AUTH_EVENT:已认证用户 'test1' 分配给 “j-read-only” 类 1 月 3 日 09:32:07 mgd[47035]:UI_LOGIN_EVENT:用户 'test1' 登录, 类 “j-read-only” [47035],ssh-connection '10.1.5.153 36784 10.1.2.68 22',客户端模式 'cli'

远程登录失败

1 月 3 日 09:26:56 sshd:SSHD_LOGIN_FAILED:用户“test1”从主机 “10.1.5.153” 登录失败

FIA_UAU.7

没有

没有

FMT_MOF.1/手动更新

任何启动手动更新的尝试

没有

12 月 28 日 21:51:21 mgd[8007]:UI_CMDLINE_READ_LINE:用户'root',命令 '请求 vmhost 软件添加 /var/tmp/junosvmhost-installmx-x86-64-19.1-20181231.0.tgz no-validate'

FMT_MTD.1/CoreData

没有

没有

FMT_SMF.1

TSF 数据的所有管理活动

没有

请参阅此表列出的审计事件。

FMT_SMR.2

没有

没有

FPT_SKP_EXT.1

没有

没有

FPT_APW_EXT.1

没有

没有

FPT_TST_EXT.1

没有

没有

在命令行输入 request system fips self-test ,进行按需自测。

重新启动设备以查看启动期间的自测。

FPT_TUD_EXT.1

启动更新;更新尝试的结果(成功或失败)

没有

12 月 28 日 21:51:21 mgd[8007]:UI_CMDLINE_READ_LINE:用户'root',命令 '请求 vmhost 软件添加 /var/tmp/junos-add vmhost-install-mxx86-64-19.1-20181231.0.tgz no-validate'

FPT_STM_EXT.1

对时间的连续更改 - 管理员执行操作或通过自动化流程进行更改。(请注意,无需记录连续的时间更改。另请参阅FPT_STM_EXT.1 上的应用说明

对于不连续的时间更改:时间的新旧值。尝试更改成功和失败时间的源头(例如 IP 地址)。

4 月 22 15:31:37 mgd[11121]:UI_CMDLINE_READ_LINE:用户'root',命令'设置日期 201904221532.00

4 月 22 日 15:32:05 mgd[11121]: UI_CMDLINE_READ_LINE: 用户 'root' , 命令 '显示系统正常运行时间'

FPT_STM_EXT.1 FTA_SSL_EXT.1(如果“选择终止会话”)

通过会话锁定机制终止本地交互式会话。

没有

1 月 3 日 11:59:29 cli: UI_CLI_IDLE_TIMEOUT: 用户 “root” 超过和会话终止的空闲超时

FTA_SSL.3

通过会话锁定机制终止远程会话。

没有

1 月 3 日 11:26:23 cli:UI_CLI_IDLE_TIMEOUT:超过用户“root”和会话终止的空闲超时

FTA_SSL.4

交互式会话的终止。

没有

当地

1 月 3 日 11:47:25 mgd[52521]: UI_LOGOUT_EVENT: 用户 “root” 退出

远程

1 月 3 日 11:43:33 sshd[52425]:收到 10.1.5.153 端口 36800:11:因用户断开连接

FTA_TAB.1

没有

没有

FTP_ITC.1

启动可信通道。可信渠道终止。可信通道功能故障。

识别发起方和失败的可信通道建立尝试的目标。

启动可信路径

1 月 3 日 12:09:00 sshd[53492]:从 10.1.5.153 端口 36802 ssh2 接受的键盘交互/pam

可信路径终止

1 月 3 日 12:09:03 sshd[53492]:收到从 10.1.5.153 端口 36802:11:因用户 1 月 3 日 12:09:36 sshd 断开连接:

可信路径故障

SSHD_LOGIN_FAILED:从主机 “10.1.5.153” 对用户 “root” 登录失败

FTP_TRP.1/管理员

启动可信路径。可信路径的终止。可信路径功能故障。

没有

启动可信路径

1 月 3 日 12:09:00 sshd[53492]:从 10.1.5.153 端口 36802 ssh2 接受的键盘交互/pam

可信路径终止

1 月 3 日 12:09:03 sshd[53492]:收到从 10.1.5.153 端口 36802:11:因用户 1 月 3 日 12:09:36 sshd 断开连接:

可信路径故障

SSHD_LOGIN_FAILED:从主机 “10.1.5.153” 对用户 “root” 登录失败

FCS_SSHS_EXT.1

无法建立 SSH 会话

失败原因

12 月 17 15:02:12 sshd[9842]:无法与 10.1.5.153 端口 43836 进行协商:未找到匹配密钥交换方法。他们的产品:diffie-hellman-group1-sha1、ext-info-c

FIA_X509_EXT.1/Rev

尝试验证证书失败 TOE 的信任存储中的任何信任锚点

证书验证失败的原因在 TOE 的信任存储区中作为信任锚点添加、替换或移除的证书识别

12 月 28 22:20:23 veriexec[9371]:无法验证 /软件包/db/pkginst。9286/manifest.ecerts:主题发行人不匹配: /C=CN/ST=CA/L=Sunnyvale/O=瞻博网络/OU=瞻博网络 CA/CN=PackageProductionTestEc_2017_NO_DEFECTS/emailAddress=ca@juniper.net

FIA_X509_EXT.2

没有

没有

FPT_TUD_EXT.2

更新失败

失败原因(包括无效证书的标识符)

12 月 28 22:20:23 veriexec[9371]:无法验证 /软件包/db/pkginst。9286/manifest.ecerts: 主题发行人不匹配: /C=CN/ST=CA/L=Sunnyvale/O=瞻博网络/OU=瞻博网络 CA/CN=PackageProductionTestEc_2017_NO_DEFECTS/emailAddress=ca@juniper.net

FMT_MOF.1/功能

没有

没有

FMT_MOF.1/服务

没有

没有

FMT_MTD.1/加密密钥

没有

没有

FIA_AFL.1

由于过度的身份验证失败,管理员锁定

没有

1 月 3 日 08:13:59 sshd:SSHD_LOGIN_ATTEMPTS_THRESHOLD:用户“test1”达到的不成功身份验证尝试 (2) 阈值