Logo Море(!) аналитической информации!
IT-консалтинг Software Engineering Программирование СУБД Безопасность Internet Сети Операционные системы Hardware
VPS/VDS серверы. 30 локаций на выбор

Серверы VPS/VDS с большим диском

Хорошие условия для реселлеров

4VPS.SU - VPS в 17-ти странах

2Gbit/s безлимит

Современное железо!

Бесплатный конструктор сайтов и Landing Page

Хостинг с DDoS защитой от 2.5$ + Бесплатный SSL и Домен

SSD VPS в Нидерландах под различные задачи от 2.6$

✅ Дешевый VPS-хостинг на AMD EPYC: 1vCore, 3GB DDR4, 15GB NVMe всего за €3,50!

🔥 Anti-DDoS защита 12 Тбит/с!

9. Подготовка системы безопасности (до соединения с интернет)

Итак, вы всесторонне проверили вашу систему и сделали ее настолько безопасной насколько это было возможно (исходя из ваших знаний :), а значит готовы к соединению с Интернет. Существует несколько вещей, которые вы теперь должны сделать, чтобы быть подготовленным на случай взлома, и, следовательно, быстро обезвредить взломщика, восстановиться и работать дальше.

9.1 Сделайте резервную копию всей вашей системы

Обсуждение методов резервирования и хранения вне целей этого документа, но буквально несколько слов о резервировании и безопасности:

Если у вас меньше чем 650Мb данных в одном разделе, то для резервирования можно порекомендовать CD-R (поскольку его очень трудно подделать, и данные долго сохраняются). На лентах и других перезаписываемых носителях сразу после создания резервных копий необходимо поставить защиту от записи и затем периодически проверять, чтобы предотвратить подделки (или подмену). Сохраняйте ваши резервные копии в надежных недоступных местах. Хорошие резервные копии обеспечат вам возможность восстановления вашей системы в любой ситуации.

9.2 Выбор режима резервирования

Простым для поддержания считается шести ступенчатый цикл. Он включает 4 текущие ленты на неделю, одна для четных пятниц, одна для нечетных пятниц. Делайте нарастающее резервирование каждый день и полное резервирование системы в пятницу на соответствующую ленту. Если вы сделали какие-либо особенные важные изменения в системе или добавили важные данные, то уместно будет сразу сделать резервную копию.

9.3 Создайте резервную копию вашей RPM базы

В случае вторжения вы можете использовать базу RPM как спасательную нить, но только в том случае, если вы уверены в ее целостности. Желательно скопировать базу RPM на дискету и держать ее где-либо в недоступном месте. В дистрибутиве Debian вероятно имеется что-то подобное.

Скорее всего файлы /var/lib/rpm/fileindex.rpm и /var/lib/rpm/packages.rpm не поместятся на отдельную дискету, а в сжатом виде каждый поместится на отдельную дискету.

Теперь если ваша система (не приведи Господи) будет взломана, вы можете использовать команду:

                        root#  rpm -Va
для верификации каждого файла в системе. Прочтите man страницу по RPM, поскольку есть другие опции, которые можно включить, чтобы сделать rpm менее многословным.

Это значит, что каждый раз как вы добавляете новый RPM в систему, вам нужно обновить резервную копию. Вы ощутите все достоинства перед недостатками.

9.4 Отслеживайте данные регистрации использования системы

Очень важно, чтобы не подверглась взлому информация, которая поступает от syslog. Начать надо с того, что разрешить чтение и запись в /var/log только ограниченному контингенту пользователей.

Обязательно следите за тем, что туда заносится, особенно посредством `auth'. Большое количество неудачных регистраций, например, может указывать на попытку вторжения.

Где искать ваши log файлы, будет зависеть от вашего дистрибутива. В Linux системах, которые поддерживают "Linux Filesystem Standard", таких как Red Hat, смотрите в /var/log для проверки messages, mail.log и других протоколов.

Чтобы узнать где ваш дистрибутив ведет системные журналы, вам нужно посмотреть в файл /etc/syslog.conf. Это файл, который указывает syslogd (системному протоколирующему демону) куда записывать различные сообщения.

Вы можете также захотеть настроить ваш log-rotating скрипт или демон для того, чтобы ваши журнальные записи дольше просуществовали, т.е. чтобы вы имели время их более детально изучить. Рекомендуем вам обратить внимание на пакет 'logrotate', поставляемый в дистрибутиве Red Hat. Другие дистрибутивы вероятно имеют подобные вещи.

Если вы заметили, что в журнальных файлах кто-то возился, посмотрите сначала можете ли вы определить, когда это началось и каких вещей касалось. Большой ли период времени таким образом содержит ненадежную информацию? Лучше всего в такой ситуации восстановить журналы с резервных копий (если у вас конечно такие есть?)

Журнальные файлы обычно изменяют взломщики, для того чтобы скрыть свои действия, но их присутствие все же можно заметить по странным событиям в системе. Вы можете отследить попытки взломщика войти в систему или изменить какую-либо программу для получения счета администратора. Вы можете просмотреть журнальные файлы до того, как взломщик изменит их.

Вам необходимо отделить `auth' данные от других запротоколированных событий, включая попытки изменения счетов с помощью `su', попытки регистрации и другую информацию, касающуюся счетов пользователей.

Если возможно, настройте syslog так, чтобы от отсылал копию наиболее важных данных на безопасную систему. Это предотвратит попытки взломщика скрыть свою деятельность путем удаления информации о его login/su/ftp и др. Изучите man страницу по syslog.conf, особенно в части `@' опции.

И наконец, журнальные файлы намного менее полезны, если их никто не читает. Выделите постоянное время для просмотра журнальных файлов, тогда вы наверняка обретете чувство ситуации - нормально все или нет. Это может сильно помочь не допустить непредвиденной ситуации.

9.5 Делайте модернизацию системы

Большинство пользователей Linux инсталируются с CDROM. Из-за быстрой природы появления исправлений в безопасности, постоянно появляются новые (исправленные) программы. До того, как вы откроете свою систему в сети, сходите на ftp сервер вашего дистрибутива (например, ftp.redhat.com) и возьмите все пакеты, которые были обновлены с момента получения вами CDROM. В большинстве случаев новые пакеты будут содержать важные исправления в области безопасности, так что неплохо их будет инсталировать.


Вперед Назад Содержание

VPS в России, Европе и США

Бесплатная поддержка и администрирование

Оплата российскими и международными картами

🔥 VPS до 5.7 ГГц под любые задачи с AntiDDoS в 7 локациях

💸 Гифткод CITFORUM (250р на баланс) и попробуйте уже сейчас!

🛒 Скидка 15% на первый платеж (в течение 24ч)

Скидка до 20% на услуги дата-центра. Аренда серверной стойки. Colocation от 1U!

Миграция в облако #SotelCloud. Виртуальный сервер в облаке. Выбрать конфигурацию на сайте!

Виртуальная АТС для вашего бизнеса. Приветственные бонусы для новых клиентов!

Виртуальные VPS серверы в РФ и ЕС

Dedicated серверы в РФ и ЕС

По промокоду CITFORUM скидка 30% на заказ VPS\VDS

Новости мира IT:

Архив новостей

IT-консалтинг Software Engineering Программирование СУБД Безопасность Internet Сети Операционные системы Hardware

Информация для рекламодателей PR-акции, размещение рекламы — adv@citforum.ru,
тел. +7 495 7861149
Пресс-релизы — pr@citforum.ru
Обратная связь
Информация для авторов
Rambler's Top100 TopList This Web server launched on February 24, 1997
Copyright © 1997-2000 CIT, © 2001-2019 CIT Forum
Внимание! Любой из материалов, опубликованных на этом сервере, не может быть воспроизведен в какой бы то ни было форме и какими бы то ни было средствами без письменного разрешения владельцев авторских прав. Подробнее...