Cuprins
Serverele și computerele sunt expuse constant atacurilor virușilor, hackerilor sau persoanelor care doresc să spioneze informații. A fi piratat sau a avea vulnerabilități este ceva de care se tem cei mai mulți utilizatori de computere, administratori de server și rețea.Primul lucru pe care trebuie să-l știm este care sunt fișierele care creează jurnalele acțiunilor efectuate pe sistem. Unii dintre ei sunt:
- Un jurnal important este utpm, care ține o evidență a utilizatorilor care utilizează sistemul în timp ce sunt conectați la server. Îl putem găsi în directorul:
/ var / adm / utmp Da / etc / utmp
- O modalitate rapidă de a vizualiza jurnalele dvs. este din fereastra terminalului cu comanda quien care listează conținutul utmp.
- Buturuga wtmp Este însărcinat cu înregistrarea într-un jurnal de fiecare dată când un utilizator intră în sistem sau iese din sistem. Poate fi găsit în directorele / var / adm / wtmp și / etc / wtmp. De asemenea, poate fi listat cu comanda:
cine / usr / adm / wtmpComanda lastcomm afișează cele mai recente comenzi executate de oricine din sistem. Această comandă este disponibilă numai dacă aveți procese care rulează. Pentru a-l utiliza trebuie să instalăm un mic program numit acct care se află în depozitele oricărui Distribuție Linux.
apt-get install acct
Afișați fișierele modificate acum 10 minute
găsi -mmin +10
Afișați fișierele modificate mai vechi de o zi
găsi -mtime +1
Afișați fișierele modificate în decurs de 5-10 minute
găsi -mmin +5 -mmin -10
Verificați întotdeauna dacă serviciile executate la pornirea serverului sau a computerului sunt cele pe care le-am definit în fișier /etc/inetd.conf
Putem folosi, de asemenea, un sistem de identificare a identificării sau intruziunii, este un instrument de securitate care încearcă să detecteze sau să monitorizeze evenimentele care apar într-un anumit sistem de calcul sau rețea de calculatoare în căutarea încercărilor de a compromite securitatea sistemului respectiv.
Un sistem de detectare a intruziunilor este, Pufni este un sniffer de pachete și un detector de intruziune funcționează atât pentru Linux, cât și pentru Windows. Un alt instrument este AIDE (mediu avansat de detectare a intruziunilor) este un instrument de verificare a integrității fișierelor și directorului.
Pufni poate fi găsit complet într-un alt tutorial. Să vedem cum se instalează Aide. Această aplicație permite să ia o noțiune a stării integrității sistemelor de fișiere din Linux și ajută la identificarea fișierelor care au fost modificate în integritatea lor de la instalarea lor.
sudo apt-get update sudo apt-get install aide
Există două fișiere de configurare:
/ etc / default / aide Fișierul general de configurare AIDE. /etc/aide/aide.conf Fișierul de configurare a regulilor AIDE.
sudo touch /var/lib/aide/aide.db
Apoi putem verifica sistemul cu următoarea comandă:
sudo aide -init
De asemenea, putem verifica fișierele modificate cu următoarea comandă:
sudo aide - verificați
