Índice
Servidores e computadores estão constantemente expostos a ataques de vírus, hackers ou pessoas que procuram espionar informações. Ser hackeado ou ter vulnerabilidades é algo que a maioria dos usuários de computador e administradores de servidor e rede temem.A primeira coisa que devemos saber é quais são os arquivos que geram os logs das ações realizadas no sistema. Alguns deles são:
- Um registro importante é utpm, que mantém um registro dos usuários que estão usando o sistema enquanto estão conectados ao servidor. Podemos encontrá-lo no diretório:
/ var / adm / utmp Y / etc / utmp
- Uma maneira rápida de ver seus registros é a partir da janela do terminal com o comando quien que lista o conteúdo de utmp.
- O registro wtmp É responsável por registrar em um log toda vez que um usuário entrar ou sair do sistema. Ele pode ser encontrado nos diretórios / var / adm / wtmp e / etc / wtmp. Ele também pode ser listado com o comando:
quem / usr / adm / wtmpO comando lastcomm mostra os comandos mais recentes executados por qualquer pessoa no sistema. Este comando está disponível apenas se você tiver processos em execução. Para usá-lo, devemos instalar um pequeno programa chamado conta que está nos repositórios de qualquer Distribuição Linux.
apt-get install acctTambém podemos pesquisar arquivos modificados em um tempo conhecido, como:
Mostrar arquivos modificados há 10 minutos
find -mmin +10
Mostrar arquivos modificados com mais de um dia
find -mtime +1
Mostra os arquivos modificados dentro de 5 a 10 minutos
encontrar -mmin +5 -mmin -10
Sempre verifique se os serviços que são executados quando o servidor ou o computador inicia são aqueles que definimos no arquivo /etc/inetd.conf
Também podemos utilizar um ids ou sistema de detecção de intrusão, é uma ferramenta de segurança que tenta detectar ou monitorar eventos que ocorrem em um determinado sistema ou rede de computadores em busca de tentativas de comprometer a segurança desse sistema.
Um sistema de detecção de intrusão é, Snort é um farejador de pacotes e um detector de intrusão funciona para Linux e Windows. Outra ferramenta é AIDE (ambiente avançado de detecção de intrusão) é um verificador de integridade de arquivos e diretórios.
Snort ele pode ser encontrado completo em outro tutorial. Vamos ver como instalar o Aide. É esta aplicação que permite ter uma noção do estado de integridade dos sistemas de arquivos no Linux e ajuda a identificar quais arquivos foram modificados em sua integridade desde a instalação.
sudo apt-get update sudo apt-get install assistente
Existem dois arquivos de configuração:
/ etc / default / aide O arquivo de configuração geral do AIDE. /etc/aide/aide.conf O arquivo de configuração das regras AIDE.
sudo touch /var/lib/aide/aide.db
Então podemos verificar o sistema com o seguinte comando:
sudo aide -init
Também podemos verificar os arquivos modificados com o seguinte comando:
sudo aide --check