Итак, вы всесторонне проверили вашу систему и сделали ее настолько
безопасной насколько это было возможно (исходя из ваших знаний :), а
значит готовы к соединению с Интернет. Существует несколько вещей,
которые вы теперь должны сделать, чтобы быть подготовленным на случай
взлома, и, следовательно, быстро обезвредить взломщика, восстановиться
и работать дальше.
Обсуждение методов резервирования и хранения вне целей этого
документа, но буквально несколько слов о резервировании и безопасности:
Если у вас меньше чем 650Мb данных в одном разделе, то для
резервирования можно порекомендовать CD-R (поскольку его очень трудно
подделать, и данные долго сохраняются). На лентах и других
перезаписываемых носителях сразу после создания резервных копий
необходимо поставить защиту от записи и затем периодически проверять, чтобы
предотвратить подделки (или подмену). Сохраняйте ваши резервные копии
в надежных недоступных местах. Хорошие резервные копии обеспечат вам
возможность восстановления вашей системы в любой ситуации.
Простым для поддержания считается шести ступенчатый цикл. Он включает
4 текущие ленты на неделю, одна для четных пятниц, одна для нечетных
пятниц. Делайте нарастающее резервирование каждый день и полное
резервирование системы в пятницу на соответствующую ленту. Если вы
сделали какие-либо особенные важные изменения в системе или добавили
важные данные, то уместно будет сразу сделать резервную копию.
В случае вторжения вы можете использовать базу RPM как спасательную
нить, но только в том случае, если вы уверены в ее
целостности. Желательно скопировать базу RPM на дискету и держать ее
где-либо в недоступном месте. В дистрибутиве Debian вероятно имеется
что-то подобное.
Скорее всего файлы /var/lib/rpm/fileindex.rpm и
/var/lib/rpm/packages.rpm не поместятся на отдельную дискету, а в
сжатом виде каждый поместится на отдельную дискету.
Теперь если ваша система (не приведи Господи) будет взломана, вы
можете использовать команду:
root# rpm -Va
для верификации каждого файла в системе. Прочтите man страницу по RPM,
поскольку есть другие опции, которые можно включить, чтобы сделать rpm
менее многословным.
Это значит, что каждый раз как вы добавляете новый RPM в систему, вам
нужно обновить резервную копию. Вы ощутите все достоинства перед
недостатками.
Очень важно, чтобы не подверглась взлому информация, которая поступает
от syslog. Начать надо с того, что разрешить чтение и запись в
/var/log только ограниченному контингенту пользователей.
Обязательно следите за тем, что туда заносится, особенно посредством
`auth'. Большое количество неудачных регистраций, например, может
указывать на попытку вторжения.
Где искать ваши log файлы, будет зависеть от вашего дистрибутива. В
Linux системах, которые поддерживают "Linux Filesystem Standard",
таких как Red Hat, смотрите в /var/log для проверки messages, mail.log
и других протоколов.
Чтобы узнать где ваш дистрибутив ведет системные журналы, вам нужно
посмотреть в файл /etc/syslog.conf. Это файл, который указывает
syslogd (системному протоколирующему демону) куда записывать различные
сообщения.
Вы можете также захотеть настроить ваш log-rotating скрипт или демон
для того, чтобы ваши журнальные записи дольше просуществовали,
т.е. чтобы вы имели время их более детально изучить. Рекомендуем вам
обратить внимание на пакет 'logrotate', поставляемый в дистрибутиве
Red Hat. Другие дистрибутивы вероятно имеют подобные вещи.
Если вы заметили, что в журнальных файлах кто-то возился, посмотрите
сначала можете ли вы определить, когда это началось и каких вещей
касалось. Большой ли период времени таким образом содержит ненадежную
информацию? Лучше всего в такой ситуации восстановить журналы с
резервных копий (если у вас конечно такие есть?)
Журнальные файлы обычно изменяют взломщики, для того чтобы скрыть
свои действия, но их присутствие все же можно заметить по странным
событиям в системе. Вы можете отследить попытки взломщика войти в
систему или изменить какую-либо программу для получения счета
администратора. Вы можете просмотреть журнальные файлы до того, как
взломщик изменит их.
Вам необходимо отделить `auth' данные от других запротоколированных
событий, включая попытки изменения счетов с помощью `su', попытки
регистрации и другую информацию, касающуюся счетов пользователей.
Если возможно, настройте syslog так, чтобы от отсылал копию наиболее
важных данных на безопасную систему. Это предотвратит попытки
взломщика скрыть свою деятельность путем удаления информации о его
login/su/ftp и др. Изучите man страницу по syslog.conf, особенно в
части `@' опции.
И наконец, журнальные файлы намного менее полезны, если их никто не
читает. Выделите постоянное время для просмотра журнальных файлов,
тогда вы наверняка обретете чувство ситуации - нормально все или
нет. Это может сильно помочь не допустить непредвиденной ситуации.
Большинство пользователей Linux инсталируются с CDROM. Из-за быстрой
природы появления исправлений в безопасности, постоянно появляются
новые (исправленные) программы. До того, как вы откроете свою систему
в сети, сходите на ftp сервер вашего дистрибутива (например,
ftp.redhat.com) и возьмите все пакеты, которые были обновлены с
момента получения вами CDROM. В большинстве случаев новые пакеты будут
содержать важные исправления в области безопасности, так что неплохо
их будет инсталировать.
Вперед
Назад
Содержание
🔥 VPS до 5.7 ГГц под любые задачи с AntiDDoS в 7 локациях
Виртуальные VPS серверы в РФ и ЕС
