好的,您已经检查过您的系统,并确定它在可行范围内是安全的,并且您已准备好将其上线。现在您应该做一些事情,以准备应对入侵,以便您可以快速禁用入侵者并恢复运行。
关于备份方法和存储的讨论超出了本文档的范围,但这里有一些关于备份和安全的说明
如果您的分区上要存储的数据少于 650mb,那么将您的数据复制到 CD-R 是一个不错的选择(因为它以后很难被篡改,并且如果存储得当可以保存很长时间),当然您至少需要 650MB 的空间来制作映像。磁带和其他可重写介质应在备份完成后立即进行写保护,然后进行验证以防止篡改。确保将备份存储在安全的离线区域。良好的备份将确保您拥有一个已知的良好点来从中恢复系统。
六盘带周期易于维护。这包括工作日使用的四个磁带,偶数星期五使用的一个磁带,以及奇数星期五使用的一个磁带。每天执行增量备份,并在适当的星期五磁带上执行完整备份。如果您对系统进行了一些特别重要的更改或向系统中添加了一些重要数据,则可能需要进行完整备份。
如果发生入侵事件,您可以像使用tripwire一样使用您的 RPM 数据库,但前提是您可以确定它也没有被修改。您应该将 RPM 数据库复制到软盘,并将此副本始终保持离线状态。Debian 发行版可能也有类似的东西。
文件/var/lib/rpm/fileindex.rpm和/var/lib/rpm/packages.rpm很可能无法放入单个软盘。但是如果压缩后,每个文件都应该可以放入单独的软盘。
现在,当您的系统被入侵时,您可以使用命令
root# rpm -Va |
这意味着每次向系统添加新的 RPM 时,都需要重新存档 RPM 数据库。您将不得不权衡利弊。
来自syslog的信息不被泄露非常重要。首先,要限制只有少数用户可以读取和写入/var/log中的文件。
请务必密切关注写入到那里的内容,尤其是在auth工具下。例如,多次登录失败可能表明有人试图闯入。
日志文件的位置将取决于您的发行版。在符合“Linux 文件系统标准”的 Linux 系统(如 Red Hat)中,您需要查看/var/log并检查messages, mail.log等。
您可以通过查看/etc/syslog.conf文件来了解您的发行版正在记录到哪里。该文件告诉syslogd(系统日志守护进程)在哪里记录各种消息。
您可能还需要配置日志轮换脚本或守护进程,以将日志保留更长时间,以便您有时间检查它们。查看最近 Red Hat 发行版上的logrotate软件包。其他发行版可能也有类似的过程。
如果您的日志文件已被篡改,请查看是否可以确定篡改开始的时间以及哪些类型的内容似乎已被篡改。是否有大段时间无法解释?检查备份磁带(如果有)中是否有未被篡改的日志文件是一个好主意。
入侵者通常会修改日志文件以掩盖其踪迹,但仍应检查日志文件是否有异常事件。您可能会注意到入侵者试图进入或利用程序来获取 root 帐户。您可能会在入侵者有时间修改日志条目之前看到它们。
您还应确保将auth工具与包括尝试使用su切换用户、登录尝试和其他用户帐户信息在内的其他日志数据分开。
如果可能,配置syslog以将最重要的数据副本发送到安全系统。这将防止入侵者通过删除其登录/su/ftp/等尝试来掩盖其踪迹。请参阅syslog.conf手册页,并参考@选项。
还有几个更高级的syslogd程序。请查看 http://www.core-sdi.com/ssyslog/ 以了解 Secure Syslog。Secure Syslog 允许您加密 syslog 条目并确保没有人篡改它们。
另一个syslogd具有更多功能的是 syslog-ng。它允许您在日志记录方面有更大的灵活性,并且还可以让您的远程 syslog 流防止篡改。
最后,当没有人阅读日志文件时,日志文件的用处就小得多。偶尔花一些时间查看您的日志文件,并了解它们在正常情况下是什么样子。了解这一点可以帮助不寻常的事情脱颖而出。