Sikkerhed til at opdage ubudne gæster ved at analysere Linux -fingeraftryk

Indholdsfortegnelse
Servere og computere udsættes konstant for angreb fra vira, hacker eller folk, der ønsker at spionere efter oplysninger. At blive hacket eller have sårbarheder er noget, som de fleste computerbrugere og server- og netværksadministratorer frygter.
Den første ting, vi skal vide, er hvilke filer, der opretter logfiler over de handlinger, der udføres på systemet. Nogle af dem er:
  • En vigtig log er utpm, der registrerer de brugere, der bruger systemet, mens de er forbundet til serveren. Vi kan finde det i biblioteket:

/ var / adm / utmp Y / etc / utmp

  • En hurtig måde at se dine logfiler er fra terminalvinduet med kommandoen quien som viser indholdet af utmp.
  • Loggen wtmp Det er ansvarligt for at registrere i en log hver gang en bruger kommer ind i systemet eller forlader systemet. Det kan findes i mapperne / var / adm / wtmp og / etc / wtmp. Det kan også angives med kommandoen:

hvem / usr / adm / wtmp

Kommandoen sidste komm viser de nyeste kommandoer udført af alle på systemet. Denne kommando er kun tilgængelig, hvis du kører processer. For at bruge det skal vi installere et lille program kaldet acct der er i depoterne for evt Linux distribution.

apt-get installere acct

Vi kan også søge efter filer, der er ændret inden for en kendt tid, såsom:
Vis ændrede filer for 10 minutter siden
find -mmin +10

Vis ændrede filer ældre end en dag
find -mtime +1

Vis ændrede filer inden for 5-10 minutter
find -mmin +5 -mmin -10

Kontroller altid, at de tjenester, der udføres, når serveren eller computeren starter, er dem, vi har defineret i filen /etc/inetd.conf
Vi kan også bruge et id eller indtrængningsdetekteringssystem, det er et sikkerhedsværktøj, der forsøger at opdage eller overvåge hændelser, der opstår i et bestemt computersystem eller computernetværk på jagt efter forsøg på at kompromittere systemets sikkerhed.
Et indbrudsdetekteringssystem er, Snøfte det er en pakkesniffer og en indtrængningsdetektor fungerer til både Linux og Windows. Et andet værktøj er AIDE (Advanced Intrusion Detection Environment) er en fil- og biblioteksintegritetskontrol.
Snøfte det kan findes komplet i en anden vejledning. Lad os se, hvordan du installerer Aide. Det er denne applikation, der gør det muligt at tage en forestilling om tilstanden af ​​filsystemernes integritet i Linux og hjælper med at identificere, hvilke filer der er blevet ændret i deres integritet siden deres installation.
 sudo apt-get opdatering sudo apt-get install aide 

Der er to konfigurationsfiler:
 / etc / default / aide Den generelle AIDE -konfigurationsfil. /etc/aide/aide.conf AIDE -reglernes konfigurationsfil. 

 sudo touch /var/lib/aide/aide.db 

Derefter kan vi kontrollere systemet med følgende kommando:
sudo aide -init

Vi kan også kontrollere ændrede filer med følgende kommando:
sudo aide -tjek
wave wave wave wave wave