Съдържание
Сървърите и компютрите са постоянно изложени на атаки от вируси, хакери или хора, които искат да шпионират информация. Да бъдеш хакнат или да имаш уязвимости е нещо, от което се страхуват повечето потребители на компютри и администратори на сървъри и мрежи.Първото нещо, което трябва да знаем, е кои са файловете, които създават дневници на действията, извършвани в системата. Някои от тях са:
- Важен дневник е utpm, който води запис на потребителите, които използват системата, докато са свързани със сървъра. Можем да го намерим в директорията:
/ var / adm / utmp Y / etc / utmp
- Бърз начин за преглед на вашите дневници е от прозореца на терминала с командата quien който изброява съдържанието на utmp.
- Дневникът wtmp Той отговаря за регистрирането в дневник всеки път, когато потребител влезе в системата или напусне системата. Може да се намери в директориите / var / adm / wtmp и / etc / wtmp. Може също да бъде изброен с командата:
кой / usr / adm / wtmpКомандата lastcomm показва последните команди, изпълнени от всеки в системата. Тази команда е достъпна само ако имате изпълнени процеси. За да го използваме, трябва да инсталираме малка програма, наречена acct който е в хранилищата на всеки Linux дистрибуция.
apt-get install acct
Показване на променените файлове преди 10 минути
намери -мин +10
Показване на модифицирани файлове, по -стари от един ден
намери -mtime +1
Показване на модифицирани файлове в рамките на 5-10 минути
намери -mmin +5 -mmin -10
Винаги проверявайте дали услугите, които се изпълняват при стартиране на сървъра или компютъра, са тези, които сме дефинирали във файла /etc/inetd.conf
Можем също така да използваме идентификатори или система за откриване на проникване, това е инструмент за защита, който се опитва да открие или наблюдава събития, които се случват в определена компютърна система или компютърна мрежа в търсене на опити за компрометиране на сигурността на споменатата система.
Системата за откриване на проникване е, Хъркане това е снифър за пакети и детектор за проникване работи както за Linux, така и за Windows. Друг инструмент е AIDE (Разширена среда за откриване на проникване) е проверка на целостта на файлове и директории.
Хъркане тя може да бъде намерена пълна в друг урок. Нека да видим как да инсталирате Aide. Това приложение позволява да се вземе представа за състоянието на целостта на файловите системи в Linux и помага да се идентифицира кои файлове са били променени в тяхната цялост след инсталирането им.
sudo apt-get update sudo apt-get помощник за инсталиране
Има два конфигурационни файла:
/ etc / default / aide Общият конфигурационен файл на AIDE. /etc/aide/aide.conf Конфигурационният файл на правилата на AIDE.
sudo touch /var/lib/aide/aide.db
След това можем да проверим системата със следната команда:
sudo aide -init
Също така можем да проверим модифицираните файлове със следната команда:
sudo aide --check