Linux 機器中使用者帳戶審計的最佳實踐

在 Linux 機器上審計使用者帳戶的好方法是什麼？我想要一個使用者列表，他們可以訪問的文件夾以及他們正在執行的程序，這樣我就可以查明安全風險，例如以 root 身份執行的 nodejs express 伺服器，或以 root 身份執行的 nginx，或者權限太開放的文件夾.

這將非常有用，特別是如果您不配置伺服器並且您希望快速了解正在發生的事情。我知道沒有一個命令可以做到這一點，但我想知道是否有要檢查的事項列表。

第一：在你可以審計之前，你必須建立一個（基線）安全策略。

這就是你決定很多（通常看起來非常明顯）安全和風險控制/緩解策略的地方。許多將被籠統地說，無論作業系統平台如何，其他的可能是特定於 Linux、Windows 的概念和設置，對於伺服器和工作站來說相同或不同。

然後，您可以在審核中確定應該如何在技術層面實施策略、伺服器的期望狀態應該是什麼，並報告現實與期望狀態的不同之處。

一旦你建立了你的策略，創建審計應該是相當簡單的。

即，如果您的策略規定您的使用者必須每 90 天更改一次密碼，那麼您的審計必須檢查是否為所有使用者帳戶設置了密碼到期，您在 Linux 伺服器上通過檢查第五個欄位/etc/shadow和/etc/passwd是否設置為90或更少來實現這一點.

引用自：https://serverfault.com/questions/885969