Игнорирование файлов и каталогов

     Tripwire сканирует только перечисленные в файле правил объекты, но иногда не надо производить мониторинг каких-то неважных файлов. Например, если был установлен /etc -> $ReadOnly, то будет производиться мониторинг каталога /etc, всех его файлов, всех подкаталогов и всех файлов в подкаталогах.

     Если не нужно производить мониторинг определенных файлов, их можно указать с помощью знака отрицания:

Далее...

Если крекер получит доступ к системе, то он попытается скрыть следы своего присутствия (конечно, если его цель - вандализм, то он просто разрушит эту систему). Известны случаи, когда хакер скрывал свое фигурирование в системе несколько лет.

     Лучший способ выявить крекера - это произвести мониторинг целостности системных файлов. Ведь в большинстве случаев крекер будет изменять какие-то файлы, а мониторинг поможет выявить это. Лучшими программами для этих целей являются Tripwire и Chkrootkit.

Далее...

Ведение журнала wtmp поддерживается практически всеми дистрибутивами Linux, но следующий метод - BSD Process Accounting (BSD-учет процессов) - поддерживается не во всех дистрибутивах.

     Как видно из названия, этот метод позаимствован из мира BSD. Он дает возожность протоколировать процессы, запущенные в системе. Если система его не поддерживает, рекомендуется включить его. Для этого надо перекомпилировать ядро, включив опцию CONFIG_BSD_PROCESS_ACCT в меню General Setup ядер 2.4 и 2.6.

     Также понадобится пакет GNU Accounting Utilities Package (http://savannah.gnu.org/projects/acct/), содержащий пользовательские утилиты для учета процессов. После установки данного пакета нужно создать каталог, в который будет записываться информация учета процессов, будет применяться каталог /var/account. Еще надо создать файл pacct в данном каталоге:

Далее...

     Многие администраторы часто вообще игнорируют логи, считая их почему-то ненужными. Наоборот, логи позволяют пролить свет на все события, которые происходят в системе. Рекомендуется просматривать логи хотя бы два раза в день. Если система работает ночью, каждое утро нужно просматривать логи, потому что очень много взломов происходит как раз в это время - когда администратор отдыхает.

     Защита /var/log

     Практически все файлы логов находятся в каталоге /var/log. Первым делом крекер, получивший права root, попытается скрыть следы своего присутствия, модифицировав файлы логов.

     Если используется ACL, можно сделать файлы в каталоге /var/log досягаемыми только для добавления данных. Но в конкретном случае, к сожалению,  больше нельзя будет применять программу logrotate, выполняющую ротацию логов: данной программе можно удалять файлы из каталога /var/log.

     Наиболее безопасное решение - отключить logrotate, учитывая объемы современных жестких дисков, ничего страшного с системой не случится.

Далее...

     Up2Date.

     Для автоматического обновления дистрибутивов Red Hat/Fedora предназначена утилита up2date. Так как эта утилита работает только с этими дистрибутивами, в дальнейшем не будем о ней говорить. Скажем только, что она работает с сетью Red Hat (RH Network, https://rhn.redhat.com) и дает возможность автоматизировать процесс загрузки и установки свежих версий программного обеспечения.

     Управление патчами с помощью Ximian Red Carpet.

     Управление патчами впервые появилось в мире коммерческого программного обеспечения. Его идея заключается в следующем: подписчики подключаются к серверу и проверяют, есть ли и в его базе сведения о новой версии интересующего их программного продукта; если есть, то новая версия автоматически загружается и определяется.

Далее...

     Администратор должен всегда быть в курсе новостей мира информационной безопасности. Откуда же можно черпать информацию? Информацию об обновлениях можно найти на форумах, но зачем? - все равно каждый день на форумы не походишь.

     Гораздо проще подписаться на рассылку новостей - как только будет что-то важное, сразу же придет сообщение, при этом не надо тратить каждый день время на посещение десятка сайтов, посвященных компьютерной безопасности. Наиболее интересны рассылки, информирующие о выходе новых версий программ (не надо забывать - нужно периодически обновлять систему), и рассылки, связанные с безопасностью. Рассмотрим наиболее интересные из них.

Далее...

     После всех пунктов можно сказать, что сеть защищена. Но данного недостаточно. Процесс защиты сети – явление постоянное, нужно регулярно поддерживать безопасность сети. Если сегодня сеть считается самой безопасной, то уже завтра будет найдено с десяток уязвимостей в употребляемых сервисах.

     Что же надо исполнять для поддерживания безопасности сети? Во-первых, администратор должен быть в курсе всех событий мира информационной безопасности. Есть мысль, что новая уязвимость будет найдена именно при взломе конкретной сети? Маловероятно, хотя все же возможно. Если это так, то этой сети не подвезло. В большинстве случаев огромную опасность для сети отображают хакеры-самоучки, которые постоянно читают новости мира компьютерной безопасности.

Далее...