Beveiliging om indringers te ontdekken door Linux-vingerafdrukken te analyseren

Inhoudsopgave
Servers en computers worden voortdurend blootgesteld aan aanvallen van virussen, hackers of mensen die informatie willen bespioneren. Gehackt worden of kwetsbaarheden hebben is iets waar de meeste computergebruikers en server- en netwerkbeheerders bang voor zijn.
Het eerste dat we moeten weten, is welke bestanden de logboeken zijn van de acties die op het systeem zijn uitgevoerd. Sommige ervan zijn:
  • Een belangrijk logboek is: utpm, die een register bijhoudt van de gebruikers die het systeem gebruiken terwijl ze verbonden zijn met de server. We kunnen het vinden in de directory:

/ var / adm / utmp Y / etc / utmp

  • Een snelle manier om uw logs te bekijken is vanuit het terminalvenster met het commando quien waarin de inhoud van utmp.
  • het logboek wtmp Het is verantwoordelijk voor het registreren in een logboek elke keer dat een gebruiker het systeem binnenkomt of het systeem verlaat. Het is te vinden in de mappen / var / adm / wtmp en / etc / wtmp. Het kan ook worden vermeld met het commando:

wie / usr / adm / wtmp

Het bevel lastcomm toont de laatste opdrachten die door iedereen op het systeem zijn uitgevoerd. Deze opdracht is alleen beschikbaar als er processen worden uitgevoerd. Om het te gebruiken moeten we een klein programma installeren genaamd acct dat is in de repositories van elke Linux-distributie.

apt-get install acct

We kunnen ook zoeken naar bestanden die binnen een bekende tijd zijn gewijzigd, zoals:
Toon gewijzigde bestanden 10 minuten geleden
zoek -mmin +10

Toon gewijzigde bestanden ouder dan één dag
zoek -mtime +1

Toon gewijzigde bestanden binnen 5-10 minuten
zoek -mmin +5 -mmin -10

Controleer altijd of de services die worden uitgevoerd wanneer de server of de computer opstart, de services zijn die we in het bestand hebben gedefinieerd /etc/inetd.conf
We kunnen ook een id- of inbraakdetectiesysteem gebruiken, het is een beveiligingshulpmiddel dat probeert gebeurtenissen die plaatsvinden in een bepaald computersysteem of computernetwerk te detecteren of te bewaken op zoek naar pogingen om de beveiliging van dat systeem in gevaar te brengen.
Een inbraakdetectiesysteem is, snuiven het is een pakketsniffer en een inbraakdetector werkt voor zowel Linux als Windows. Een ander hulpmiddel is AIDE (Advanced Intrusion Detection Environment) is een integriteitscontrole voor bestanden en mappen.
snuiven het kan volledig worden gevonden in een andere tutorial. Laten we eens kijken hoe Aide te installeren. Het is deze applicatie die het mogelijk maakt om een ​​idee te krijgen van de staat van de integriteit van de bestandssystemen in Linux en helpt te identificeren welke bestanden in hun integriteit zijn gewijzigd sinds hun installatie.
 sudo apt-get update sudo apt-get install aide 

Er zijn twee configuratiebestanden:
 / etc / default / aide Het algemene AIDE-configuratiebestand. /etc/aide/aide.conf Het configuratiebestand van de AIDE-regels. 

 sudo touch /var/lib/aide/aide.db 

Dan kunnen we het systeem controleren met het volgende commando:
sudo aide -init

We kunnen ook gewijzigde bestanden controleren met het volgende commando:
sudo assistent --check
wave wave wave wave wave