Turinys
Serveriai ir kompiuteriai nuolat susiduria su virusų, įsilaužėlių ar žmonių, norinčių šnipinėti informaciją, atakomis. Dauguma kompiuterių vartotojų, serverių ir tinklo administratorių bijo būti įsilaužusiems ar turintiems pažeidžiamumų.Pirmas dalykas, kurį turime žinoti, yra failai, kurie sukuria sistemoje atliktų veiksmų žurnalus. Kai kurie iš jų yra:
- Svarbus žurnalas yra utpm, kuris registruoja vartotojus, kurie naudojasi sistema, kol jie yra prisijungę prie serverio. Jį galime rasti kataloge:
/ var / adm / utmp Y / etc / utmp
- Greitas būdas peržiūrėti jūsų žurnalus yra terminalo lange naudojant komandą quien kuriame pateikiamas turinys utmp.
- Žurnalas wtmp Ji yra atsakinga už registraciją žurnale kiekvieną kartą, kai vartotojas įeina į sistemą arba išeina iš sistemos. Jį galima rasti kataloge / var / adm / wtmp ir / etc / wtmp. Jis taip pat gali būti išvardytas naudojant komandą:
kas / usr / adm / wtmpKomanda lastcomm rodo naujausias komandas, kurias įvykdė visi sistemoje esantys asmenys. Ši komanda pasiekiama tik tuo atveju, jei vykdote procesus. Norėdami jį naudoti, turime įdiegti mažą programą pavadinimu įstatymas tai yra bet kurios saugyklose „Linux“ platinimas.
apt-get install acctTaip pat galime ieškoti per žinomą laiką pakeistų failų, tokių kaip:
Rodyti pakeistus failus prieš 10 minučių
rasti -šiltas +10
Rodyti senesnius nei vienos dienos failus
rasti -mtime +1
Parodykite pakeistus failus per 5-10 minučių
rasti -mmin +5 -mmin -10
Visada patikrinkite, ar paleidžiant serverį ar kompiuterį vykdomos paslaugos yra tos, kurias apibrėžėme faile /etc/inetd.conf
Taip pat galime naudoti ID arba įsilaužimo aptikimo sistemą, tai yra saugumo priemonė, bandanti aptikti ar stebėti įvykius, įvykstančius tam tikroje kompiuterinėje sistemoje ar kompiuterių tinkle, ieškant bandymų pakenkti minėtos sistemos saugumui.
Įsilaužimo aptikimo sistema yra Prunkštelėkite tai paketų šnipinėjimas, o įsilaužimo detektorius veikia tiek „Linux“, tiek „Windows“. Kitas įrankis yra AIDE (pažangi įsibrovimo aptikimo aplinka) yra failų ir katalogų vientisumo tikrintuvas.
Prunkštelėkite jį galima rasti išsamiai kitoje pamokoje. Pažiūrėkime, kaip įdiegti „Aide“. Būtent ši programa leidžia suvokti „Linux“ failų sistemų vientisumo būseną ir padeda nustatyti, kurie failai buvo pakeisti jų vientisumu nuo jų įdiegimo.
sudo apt-get update sudo apt-get install aide
Yra du konfigūracijos failai:
/ etc / default / aide Bendras AIDE konfigūracijos failas. /etc/aide/aide.conf AIDE taisyklių konfigūracijos failas.
sudo touch /var/lib/aide/aide.db
Tada galime patikrinti sistemą naudodami šią komandą:
sudo aide -init
Taip pat galime patikrinti pakeistus failus naudodami šią komandą:
sudo padėjėjas -patikrinkite