1.查看公共账号:&&洛杉矶华人资讯网2.搜索账号:&&chineseinla_com
地址: 1351 S Grove Ave, Unit 109,
Ontario, CA 91761
电话: 总机：626-657--21:00(西部时间)
竞价：562-275--18:00(西部时间)
(周一到周五, 周六周日休息)
PERM 被 Audit 以后的注意事项
(梁勇律师事务所，专稿) 最近劳工部对PERM 的审理速度还算可以，我们已经收到了几个在 月份提出的PERM 的申请，并获得批准的案子。有关最近PERM 批准的案例，我们会找时间讨论。除了直接批准的PERM 申请。最近劳工部对PERM 的Audit 也不手软，我们也有多位申请人收到劳工部的 Audit 要求，并回复之后获得批准。我们要提醒PERM 的申请人，收到劳工部 Audit 的要求时，一定要回复，不能放着不管。如果你做了劳工部要求的广告活动，但是没有完全符合劳工部的要求，大不了PERM 的申请被拒绝，重新提出PERM 的申请就是了。如果不回复，可能导致雇主被罚禁止为员工申请劳工证，处罚期限不超过二年。在回复劳工部的Audit 后，劳工部可能再发通知要求雇主在劳工部监督下重新启动招聘过程，也就是说重新打广告征人，并求申请人将履历表寄到劳工部指定的地址。如果依照劳工部的要求做了征人活动后，还是没有合格的申请人，PERM 还是会获得批准。如果雇主被要求在劳工部监督下重新启动招聘过程，千万不要不回复或者是撤销申请。最近劳工部发布有关在劳工部监督的招聘过程中撤销PERM申请的后果。劳工部表示，尽管在被劳工部 Audit后，劳工部可能会批准雇主在劳工部监督的招聘过程中撤销PERM申请的请求。而且该雇主仍可以继续提出满足所有常规要求的新申请，为撤销申请的外国员工重新申主请，但是该公司提出PERM的招聘活动将会受到劳工部的监督。此外，如果劳工部认定有必要，该雇主以后提出的所有其他外国员工的PERM申请或者工作机会都可能受到劳工部的监督。如果在接受劳工部监督的招聘中，公司多次要求撤销PERM申请的请求会被劳工部严格审查。如果证明该雇主未能遵守监督招聘过程的相关要求，可导致该雇主被罚禁止申请劳工证，处罚期限不超过三年。因此，一旦PERM申请被转到受劳工部监督的招聘，雇主仍旧可以遵守监督招聘的相关规定及要求来完成监督招聘过程，而不是撤销还在等候期间的申请。我们提醒提出PERM 申请的员工及雇主，一旦收到劳工部的Audit 要求，或被要求接受劳工部监督的招聘活动，只要雇主有依照劳工部的指示完成需要的征人活动，还是有被批准的可能。万一征人活动有合格的申请人来应征，大不了是被拒绝重新提出申请。千万不要放不管或者是直接撤销PERM 的申请，因为这可能会被劳工部怀疑雇主没有依照要求做事，而导致该雇主被罚禁止申请PERM， 或影响未来PERM 申请的时间。只要雇主有照着劳工部的要求去进行PERM 部要的征人活动，或是被劳工部要求接受劳工部监督重新做招聘的动作，只要依劳工部的要求做征人的活动及回复，也还有被批准的可能。梁勇律师事务所 Law Offices of Jonathan Liang (new address form 4/30/2012) 9420 Telstar Avenue, Suite 211, El Monte, CA 91731 美国境内免费电话: 1-866-661-7705 Tel: (626)288-7900,
Free $5 Credit
点评这篇文章
点评这篇文章
0个人参与评分
ChineseInLA总共有38372条点评, 30885次评分2813人阅读
audit子系统提供了一种纪录系统安全方面信息的方法，同时能为系统管理员在用户违反系统安全法则或存在违反的潜在可能时，提供及时的警告信息，这些audit子系统所搜集的信息包括：可被审计的事件名称，事件状态（成功或失败），别的安全相关的信息。
可被审计的事件，通常，这些事件都是定义在系统调用级别的。
函数（库）
System Call （系统调用）
底层Kernel
Cat /etc/fstab
ltrace cat /etc/fstab
Strace cat /etc/fstab
追踪系统调用
[/usr/share/man/man3]
#ls -l | wc -l
[/usr/share/man/man2]
#ls -l | wc –l
明确自己要审计什么？
[root@node1 ~]# service auditd status
auditd (pid &2815) is running...
[root@node1 ~]# rpm -qf /etc/init.d/auditd&
audit-1.7.17-3.el5
[root@node1 ~]# auditctl -s
AUDIT_STATUS: enabled=1 flag=1 pid=2815 rate_limit=0 backlog_limit=320 lost=0 backlog=0
enabled=1开启审计
[root@node1 ~]# man auditctl 中的 EXAMPLE
auditctl -w /etc/shadow -p wa
& & r=read, w=write, &x=execute, &a=attribute(所属者所属组)
auditctl -w /etc/ -p wa & （a是属性）
[root@node1 ~]# auditctl -w /tmp/ -p rwxa
[root@node1 ~]# auditctl -l
LIST_RULES: exit,always dir=/tmp (0x4) perm=rwxa
auditctl -l &查看所有
auditctl -D 删除清空
[root@node1 ~]# ls /tmp/
[root@node1 ~]# cat /var/log/audit/audit.log&
。。。 。。。
type=SYSCALL msg=audit(.024:552): arch= syscall=5 success=yes exit=3 a0==1e560 a3=9560850 items=1 ppid=11329 pid=13571 auid=0 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts3 ses=66 comm=&ls& exe=&/bin/ls&
key=(null)
type=CWD msg=audit(.024:552): &cwd=&/root&
type=PATH msg=audit(.024:552): item=0 name=&/tmp/& inode=2031617 dev=fd:00 mode=041777 ouid=0 ogid=0 rdev=00:00
[root@node1 ~]# ausearch -f /tmp/
time-&Sat Feb 25 07:34:14 2012
type=PATH msg=audit(.024:552): item=0 name=&/tmp/& inode=2031617 dev=fd:00 mode=041777 ouid=0 ogid=0 rdev=00:00
type=CWD msg=audit(.024:552): &cwd=&/root&
type=SYSCALL msg=audit(.024:552): arch= syscall=5 success=yes exit=3 a0==1e560 a3=9560850 items=1 ppid=11329 pid=13571 auid=0 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts3 ses=66 comm=&ls& exe=&/bin/ls&
key=(null)
[root@node1 ~]# auditctl -w /etc/shadow -p rwxa -k &SHADOW&（-k 关键字）
使用普通用户修改密码
[user1@node1 ~]$ passwd
Changing password for user user1.
Changing password for user1
(current) UNIX password:&
New UNIX password:&
Retype new UNIX password:&
passwd: all authentication tokens updated successfully.
[root@node1 ~]# ausearch -k &SHADOW&
time-&Sat Feb 25 07:47:43 2012
type=PATH msg=audit(.467:575): item=4 name=&/etc/shadow& inode=4949304 dev=fd:00 mode=0100400 ouid=0 ogid=0 rdev=00:00
type=PATH msg=audit(.467:575): item=3 name=&/etc/shadow& inode=4950505 dev=fd:00 mode=0100400 ouid=0 ogid=0 rdev=00:00
type=PATH msg=audit(.467:575): item=2 name=&/etc/nshadow& inode=4949304 dev=fd:00 mode=0100400 ouid=0 ogid=0 rdev=00:00
type=PATH msg=audit(.467:575): item=1 name=&/etc/& inode=4947969 dev=fd:00 mode=040755 ouid=0 ogid=0 rdev=00:00
type=PATH msg=audit(.467:575): item=0 name=&/etc/& inode=4947969 dev=fd:00 mode=040755 ouid=0 ogid=0 rdev=00:00
type=CWD msg=audit(.467:575): &cwd=&/home/user1&
type=SYSCALL msg=audit(.467:575): arch= syscall=38 success=yes exit=0 a0=d9d317 a1=d9d1d6 a2=d9f5e4 a3=0 items=5 ppid=13633 pid=13661 auid=0 uid=505 gid=505 euid=0 suid=0 fsuid=0 egid=505 sgid=505 fsgid=505 tty=pts7 ses=77 comm=&passwd& exe=&/usr/bin/passwd&
key=&SHADOW&
auid 初始登录uid
[root@node1 ~]# auditctl -l
LIST_RULES: exit,always dir=/tmp (0x4) perm=rwxa
LIST_RULES: exit,always watch=/etc/shadow perm=rwxa key=SHADOW
[root@node1 ~]# auditctl -w /tmp -p rwxa
[root@node1 ~]# auditctl -a exit,always -F dir=/tmp/ -F perm=rwxa
[root@node1 ~]# auditctl -l
LIST_RULES: exit,always dir=/tmp (0x4) perm=rwxa
LIST_RULES: exit,always dir=/tmp/ (0x5) perm=rwxa
-a exit,always
-F 规则字段
always 总是记录审计
exit：行为完成后记录审计（一般常用）
entry：行为刚开始时记录审计（某些规则要求）
auditctl -a exit,always -F auid!=0 -F uid=0 -S all
-S syscall all 所有系统调用（行为）
audictctl -a exit,always -F auid!=0 -F uid=0 -S all -k &ALL&
ausearch -k &ALL&
工作中常对 /tmp /etc 审计，攻击者常用/tmp提权
aureport --help
aureport -h
aureport -l （login）
&&相关文章推荐
参考知识库
* 以上用户言论只代表其个人观点，不代表CSDN网站的观点或立场
访问：2271466次
积分：23725
积分：23725
排名：第243名
原创：297篇
转载：328篇
评论：238条
1.凤凰网:（性能测试）
2.猎聘网:（性能＋接口自动化）
3.奇虎360（web平台*服务端测试）:（服务的性能、手机浏览器性能、自动化）
(1)(1)(1)(1)(4)(2)(3)(7)(2)(2)(2)(2)(1)(2)(2)(1)(4)(2)(2)(3)(12)(5)(6)(7)(21)(12)(21)(30)(27)(17)(36)(29)(34)(17)(50)(25)(14)(18)(13)(33)(26)(10)(30)(65)(26)(1)AuditAccountLogon function (Windows)
AuditAccountLogon
Expand the table of content
AuditAccountLogon function
The AuditAccountLogon function produces an audit record that represents the mapping of a foreign
name onto a Windows account.
NTSTATUS AuditAccountLogon(
_In_ ULONG
_In_ BOOLEAN
_In_ PUNICODE_STRING Source,
_In_ PUNICODE_STRING ClientName,
_In_ PUNICODE_STRING MappedName,
_In_ NTSTATUS
Parameters
AuditId [in]
–defined message identifier. This value is included in the audit record.
Success [in]
Specifies whether the audit record is generated on success or failure of the logon.
Source [in]
Pointer to a
specifying the source of the logon attempt.
ClientName [in]
Pointer to a
specifying the client name.
MappedName [in]
Pointer to a
containing the Windows account name to which the client name was mapped, if any.
Status [in]
An NTSTATUS value specifying any error that occurred.
Return value
This function returns STATUS_SUCCESS.
A pointer to the AuditAccountLogon function is available in the
structure received by the
Requirements
Minimum supported client
Windows XP [desktop apps only]
Minimum supported server
Windows Server 2003 [desktop apps only]
Ntsecpkg.h
IN THIS ARTICLE
Is this page helpful?
Additional feedback?
1500 characters remaining
Thank you!
We appreciate your feedback.
(C) Microsoft 2017}