Zabezpečení pro objevování vetřelců analýzou otisků prstů Linuxu

Zabezpečení pro objevování vetřelců analýzou otisků prstů Linuxu | Bezpečnostní 2024
Zabezpečení pro objevování vetřelců analýzou otisků prstů Linuxu | Bezpečnostní 2024
Obsah
Servery a počítače jsou neustále vystavovány útokům virů, hackerů nebo lidí, kteří chtějí špehovat informace. Hacknutí nebo zranitelnost je něco, čeho se většina uživatelů počítačů a správců serverů a sítí obává.
První věc, kterou musíme vědět, je, které soubory vytvářejí protokoly akcí prováděných v systému. Někteří z nich jsou:
  • Důležitý protokol je utpm, který uchovává záznamy o uživatelích, kteří používají systém, zatímco jsou připojeni k serveru. Najdeme ho v adresáři:

/ var / adm / utmp Y / etc / utmp

  • Protokoly lze rychle zobrazit z okna terminálu pomocí příkazu quien který uvádí obsah utmp.
  • Protokol wtmp Je odpovědný za registraci do protokolu pokaždé, když uživatel vstoupí do systému nebo ze systému odejde. Lze jej nalézt v adresářích / var / adm / wtmp a / etc / wtmp. Může být také uveden v seznamu pomocí příkazu:

kdo / usr / adm / wtmp

Příkaz lastcomm ukazuje nejnovější příkazy provedené kýmkoli v systému. Tento příkaz je k dispozici, pouze pokud máte spuštěné procesy. Abychom ji mohli použít, musíme nainstalovat malý program s názvem účt to je v repozitářích jakéhokoli Distribuce Linuxu.

apt-get install acct

Můžeme také vyhledávat soubory upravené ve známém čase, například:
Zobrazit upravené soubory před 10 minutami
najít -mmin +10

Zobrazit upravené soubory starší než jeden den
najít -mtime +1

Zobrazit upravené soubory do 5-10 minut
najít -mmin +5 -mmin -10

Vždy zkontrolujte, že služby, které jsou prováděny při spuštění serveru nebo počítače, jsou služby, které jsme definovali v souboru /etc/inetd.conf
Můžeme také použít ID nebo systém detekce narušení, je to bezpečnostní nástroj, který se pokouší detekovat nebo monitorovat události, ke kterým dochází v určitém počítačovém systému nebo počítačové síti, při hledání pokusů o narušení bezpečnosti uvedeného systému.
Systém detekce narušení je, Šňupat je to vyhledávač paketů a detektor narušení funguje pro Linux i Windows. Další nástroj je AIDE (Advanced Intrusion Detection Environment) je kontrola integrity souborů a adresářů.
Šňupat lze jej najít kompletní v jiném tutoriálu. Podívejme se, jak nainstalovat Aide. Je to tato aplikace, která umožňuje získat představu o stavu integrity souborových systémů v Linuxu a pomáhá identifikovat, které soubory byly od jejich instalace změněny v jejich celistvosti.
 sudo apt-get update sudo apt-get install aide

Existují dva konfigurační soubory:
 / etc / default / aide Obecný konfigurační soubor AIDE. /etc/aide/aide.conf Konfigurační soubor pravidel AIDE. 

 sudo touch /var/lib/aide/aide.db

Poté můžeme systém zkontrolovat pomocí následujícího příkazu:
sudo aide -init

Upravené soubory můžeme také zkontrolovat pomocí následujícího příkazu:
sudo aide -zkontrolujte
wave wave wave wave wave

Populární Příspěvky

wave
1
post-title
▷ Jak odinstalovat hry Xbox Series X nebo Xbox Series S
2
post-title
Nejlepší aplikace pro zvýšení produktivity
3
post-title
▷ Změňte heslo Debianu 11 Reset
4
post-title
Jak vidět a znát verzi Debianu
5
post-title
Co je Ransomware (mimo jiné WannaCry) a jak se chránit

Doporučená

wave
- Sponsored Ad -

Redakce Choice

wave
- Sponsored Ad -