Satura rādītājs
Serveri un datori ir pastāvīgi pakļauti vīrusu, hakeru vai cilvēku, kas vēlas izspiegot informāciju, uzbrukumiem. Lielākā daļa datoru lietotāju, kā arī serveru un tīkla administratori baidās no uzlaušanas vai ievainojamības.Pirmā lieta, kas mums jāzina, ir faili, kas izveido sistēmā veikto darbību žurnālus. Daži no tiem ir:
- Svarīgs žurnāls ir utpm, kas reģistrē lietotājus, kuri izmanto sistēmu, kamēr tie ir savienoti ar serveri. Mēs to varam atrast direktorijā:
/ var / adm / utmp Y / etc / utmp
- Ātrs veids, kā apskatīt žurnālus, ir termināļa logā ar komandu svešinieks kurā ir uzskaitīts saturs utmp.
- Žurnāls wtmp Tā ir atbildīga par reģistrēšanos žurnālā katru reizi, kad lietotājs ienāk sistēmā vai pamet sistēmu. To var atrast katalogos / var / adm / wtmp un / etc / wtmp. To var arī uzskaitīt ar komandu:
kurš / usr / adm / wtmpKomanda lastcomm parāda jaunākās komandas, kuras izpildījis jebkurš sistēmas lietotājs. Šī komanda ir pieejama tikai tad, ja darbojas procesi. Lai to izmantotu, mums jāinstalē neliela programma ar nosaukumu akts kas atrodas jebkura krātuvē Linux izplatīšana.
apt-get install acctMēs varam arī meklēt zināmā laikā modificētus failus, piemēram:
Rādīt modificētos failus pirms 10 minūtēm
atrast -mmin +10
Rādīt modificētos failus, kas vecāki par vienu dienu
atrast -laiks +1
Parādiet modificētos failus 5-10 minūšu laikā
atrast -mmin +5 -mmin -10
Vienmēr pārbaudiet, vai pakalpojumi, kas tiek izpildīti, startējot serveri vai datoru, ir tie, kurus esam definējuši failā /etc/inetd.conf
Mēs varam izmantot arī ID vai ielaušanās noteikšanas sistēmu, tas ir drošības rīks, kas mēģina atklāt vai pārraudzīt notikumus, kas notiek noteiktā datorsistēmā vai datortīklā, meklējot mēģinājumus apdraudēt minētās sistēmas drošību.
Ielaušanās atklāšanas sistēma ir Šņukstēt tas ir pakešu snifferis un ielaušanās detektors darbojas gan Linux, gan Windows. Vēl viens instruments ir AIDE (uzlabota ielaušanās noteikšanas vide) ir failu un direktoriju integritātes pārbaudītājs.
Šņukstēt to var atrast komplektā citā apmācībā. Apskatīsim, kā instalēt Aide. Tieši šī lietojumprogramma ļauj saprast priekšstatu par Linux failu sistēmu integritātes stāvokli un palīdz noteikt, kuri faili pēc to instalēšanas ir mainīti to integritātē.
sudo apt-get update sudo apt-get instalēšanas palīgs
Ir divi konfigurācijas faili:
/ etc / default / aide Vispārējais AIDE konfigurācijas fails. /etc/aide/aide.conf AIDE noteikumu konfigurācijas fails.
sudo touch /var/lib/aide/aide.db
Tad mēs varam pārbaudīt sistēmu ar šādu komandu:
sudo palīgs -init
Mēs varam arī pārbaudīt modificētos failus ar šādu komandu:
sudo palīgs -pārbaudiet