Inhaltsverzeichnis
Server und Computer sind ständig Angriffen durch Viren, Hacker oder Personen ausgesetzt, die Informationen ausspionieren möchten. Gehackt zu werden oder Sicherheitslücken zu haben, ist etwas, was die meisten Computerbenutzer und Server- und Netzwerkadministratoren fürchten.Das erste, was wir wissen müssen, ist, welche Dateien Protokolle der auf dem System ausgeführten Aktionen erstellen. Einige von ihnen sind:
- Ein wichtiges Protokoll ist utpm, das eine Aufzeichnung der Benutzer speichert, die das System verwenden, während sie mit dem Server verbunden sind. Wir finden es im Verzeichnis:
/var/adm/utmp Ja /etc/utmp
- Eine schnelle Möglichkeit, Ihre Protokolle anzuzeigen, ist im Terminalfenster mit dem Befehl quien die den Inhalt von . auflistet utmp.
- Das Protokoll wtmp Es ist dafür verantwortlich, sich jedes Mal, wenn ein Benutzer das System betritt oder das System verlässt, in einem Protokoll zu registrieren. Es befindet sich in den Verzeichnissen /var/adm/wtmp und /etc/wtmp. Es kann auch mit dem Befehl aufgelistet werden:
wer / usr / adm / wtmpDer Befehl lastcomm zeigt die neuesten Befehle an, die von jedem auf dem System ausgeführt wurden. Dieser Befehl ist nur verfügbar, wenn Prozesse ausgeführt werden. Um es verwenden zu können, müssen wir ein kleines Programm namens . installieren Konto das ist in den Repositorys von irgendwelchen Linux-Distribution.
apt-get install acctWir können auch nach Dateien suchen, die innerhalb einer bekannten Zeit geändert wurden, wie zum Beispiel:
Geänderte Dateien anzeigen vor 10 Minuten
finden -mmin +10
Geänderte Dateien anzeigen, die älter als einen Tag sind
find -mtime +1
Geänderte Dateien innerhalb von 5-10 Minuten anzeigen
finden -mmin +5 -mmin -10
Überprüfen Sie immer, ob die Dienste, die beim Starten des Servers oder des Computers ausgeführt werden, diejenigen sind, die wir in der Datei definiert haben /etc/inetd.conf
Wir können auch ein IDs- oder Intrusion Detection-System verwenden, ein Sicherheitstool, das versucht, Ereignisse zu erkennen oder zu überwachen, die in einem bestimmten Computersystem oder Computernetzwerk auftreten, um Versuche zu unternehmen, die Sicherheit dieses Systems zu gefährden.
Ein Intrusion Detection System ist, Schnauben Es ist ein Paket-Sniffer und ein Intrusion-Detector funktioniert sowohl für Linux als auch für Windows. Ein weiteres Werkzeug ist AIDE (Advanced Intrusion Detection Environment) ist eine Datei- und Verzeichnisintegritätsprüfung.
Schnauben es kann in einem anderen Tutorial vollständig gefunden werden. Sehen wir uns an, wie Aide installiert wird. Es ist diese Anwendung, die es ermöglicht, den Zustand der Integrität der Dateisysteme in Linux zu erfassen und zu erkennen, welche Dateien seit ihrer Installation in ihrer Integrität geändert wurden.
sudo apt-get update sudo apt-get Installationshilfe
Es gibt zwei Konfigurationsdateien:
/etc/default/aide Die allgemeine AIDE-Konfigurationsdatei. /etc/aide/aide.conf Die AIDE-Regelkonfigurationsdatei.
sudo touch /var/lib/aide/aide.db
Dann können wir das System mit dem folgenden Befehl überprüfen:
sudo hilfe -init
Wir können auch geänderte Dateien mit dem folgenden Befehl überprüfen:
sudo hilfe --check