Segurança para descobrir invasores analisando as impressões digitais do Linux

Índice
Servidores e computadores estão constantemente expostos a ataques de vírus, hackers ou pessoas que procuram espionar informações. Ser hackeado ou ter vulnerabilidades é algo que a maioria dos usuários de computador e administradores de servidor e rede temem.
A primeira coisa que devemos saber é quais são os arquivos que geram os logs das ações realizadas no sistema. Alguns deles são:
  • Um registro importante é utpm, que mantém um registro dos usuários que estão usando o sistema enquanto estão conectados ao servidor. Podemos encontrá-lo no diretório:

/ var / adm / utmp Y / etc / utmp

  • Uma maneira rápida de ver seus registros é a partir da janela do terminal com o comando quien que lista o conteúdo de utmp.
  • O registro wtmp É responsável por registrar em um log toda vez que um usuário entrar ou sair do sistema. Ele pode ser encontrado nos diretórios / var / adm / wtmp e / etc / wtmp. Ele também pode ser listado com o comando:

quem / usr / adm / wtmp

O comando lastcomm mostra os comandos mais recentes executados por qualquer pessoa no sistema. Este comando está disponível apenas se você tiver processos em execução. Para usá-lo, devemos instalar um pequeno programa chamado conta que está nos repositórios de qualquer Distribuição Linux.

apt-get install acct

Também podemos pesquisar arquivos modificados em um tempo conhecido, como:
Mostrar arquivos modificados há 10 minutos
find -mmin +10

Mostrar arquivos modificados com mais de um dia
find -mtime +1

Mostra os arquivos modificados dentro de 5 a 10 minutos
encontrar -mmin +5 -mmin -10

Sempre verifique se os serviços que são executados quando o servidor ou o computador inicia são aqueles que definimos no arquivo /etc/inetd.conf
Também podemos utilizar um ids ou sistema de detecção de intrusão, é uma ferramenta de segurança que tenta detectar ou monitorar eventos que ocorrem em um determinado sistema ou rede de computadores em busca de tentativas de comprometer a segurança desse sistema.
Um sistema de detecção de intrusão é, Snort é um farejador de pacotes e um detector de intrusão funciona para Linux e Windows. Outra ferramenta é AIDE (ambiente avançado de detecção de intrusão) é um verificador de integridade de arquivos e diretórios.
Snort ele pode ser encontrado completo em outro tutorial. Vamos ver como instalar o Aide. É esta aplicação que permite ter uma noção do estado de integridade dos sistemas de arquivos no Linux e ajuda a identificar quais arquivos foram modificados em sua integridade desde a instalação.
 sudo apt-get update sudo apt-get install assistente 

Existem dois arquivos de configuração:
 / etc / default / aide O arquivo de configuração geral do AIDE. /etc/aide/aide.conf O arquivo de configuração das regras AIDE. 

 sudo touch /var/lib/aide/aide.db 

Então podemos verificar o sistema com o seguinte comando:
sudo aide -init

Também podemos verificar os arquivos modificados com o seguinte comando:
sudo aide --check
wave wave wave wave wave