Obsah
Servery a počítače jsou neustále vystavovány útokům virů, hackerů nebo lidí, kteří chtějí špehovat informace. Hacknutí nebo zranitelnost je něco, čeho se většina uživatelů počítačů a správců serverů a sítí obává.První věc, kterou musíme vědět, je, které soubory vytvářejí protokoly akcí prováděných v systému. Někteří z nich jsou:
- Důležitý protokol je utpm, který uchovává záznamy o uživatelích, kteří používají systém, zatímco jsou připojeni k serveru. Najdeme ho v adresáři:
/ var / adm / utmp Y / etc / utmp
- Protokoly lze rychle zobrazit z okna terminálu pomocí příkazu quien který uvádí obsah utmp.
- Protokol wtmp Je odpovědný za registraci do protokolu pokaždé, když uživatel vstoupí do systému nebo ze systému odejde. Lze jej nalézt v adresářích / var / adm / wtmp a / etc / wtmp. Může být také uveden v seznamu pomocí příkazu:
kdo / usr / adm / wtmpPříkaz lastcomm ukazuje nejnovější příkazy provedené kýmkoli v systému. Tento příkaz je k dispozici, pouze pokud máte spuštěné procesy. Abychom ji mohli použít, musíme nainstalovat malý program s názvem účt to je v repozitářích jakéhokoli Distribuce Linuxu.
apt-get install acct
Zobrazit upravené soubory před 10 minutami
najít -mmin +10
Zobrazit upravené soubory starší než jeden den
najít -mtime +1
Zobrazit upravené soubory do 5-10 minut
najít -mmin +5 -mmin -10
Vždy zkontrolujte, že služby, které jsou prováděny při spuštění serveru nebo počítače, jsou služby, které jsme definovali v souboru /etc/inetd.conf
Můžeme také použít ID nebo systém detekce narušení, je to bezpečnostní nástroj, který se pokouší detekovat nebo monitorovat události, ke kterým dochází v určitém počítačovém systému nebo počítačové síti, při hledání pokusů o narušení bezpečnosti uvedeného systému.
Systém detekce narušení je, Šňupat je to vyhledávač paketů a detektor narušení funguje pro Linux i Windows. Další nástroj je AIDE (Advanced Intrusion Detection Environment) je kontrola integrity souborů a adresářů.
Šňupat lze jej najít kompletní v jiném tutoriálu. Podívejme se, jak nainstalovat Aide. Je to tato aplikace, která umožňuje získat představu o stavu integrity souborových systémů v Linuxu a pomáhá identifikovat, které soubory byly od jejich instalace změněny v jejich celistvosti.
sudo apt-get update sudo apt-get install aide
Existují dva konfigurační soubory:
/ etc / default / aide Obecný konfigurační soubor AIDE. /etc/aide/aide.conf Konfigurační soubor pravidel AIDE.
sudo touch /var/lib/aide/aide.db
Poté můžeme systém zkontrolovat pomocí následujícího příkazu:
sudo aide -init
Upravené soubory můžeme také zkontrolovat pomocí následujícího příkazu:
sudo aide -zkontrolujte
