Sljedeći dio Prethodni dio Sadržaj

9. Sigurnosne pripreme (prije nego se uključite u mrežu)

Dakle, provjerili ste svoj sustav, odlučili da je dovoljno siguran i spremni ste ga uključiti u mrežu. Nekoliko je stvari koje bi sada trebali obaviti kako bi bili spremni u slučaju da se upad stvarno dogodi, tako da uljeza brzo možete onemogućiti i oporaviti se te nastaviti rad.

9.1 Napravite potpun backup svoga stroja

Rasprava o metodama backupa i pohranjivanja izvan je dosega ovog dokumenta, ali nekoliko riječi vezanih uz backup i sigurnost:

Ako na particiji imate manje od 650 MB podataka, CD-R kopiranje podataka je dobra metoda (jer je s njime teško kasnije petljati, a ako se pravilno pohrani može trajati dugo vremena). Trake i druge medije na koje se ponovo može pisati treba zaštiti od pisanja čim je vaš backup potpun i provjeren za sprečavanje petljanja. Osigurajte da su vaši backupi pohranjeni u sigurnom području isključenom iz mreža. Dobar backup osigurava dobru početnu točku za vraćanje sustava u normalno stanje.

9.2 Izbor dobrog rasporeda backupa

Ciklus od šest traka lako je održavati. To se odnosi na četiri vrpce tijekom tjedna, jednu za parne petke i jednu za neparne petke. Svaki dan obavljajte inkrementalni backup, a svaki petak potpuni. Ako napravite određene promjene ili sustavu dodate važne podatke, backup će vam dobro doći.

9.3 Backupirajte svoju RPM ili Debian bazu podataka datoteka

U slučaju provale možete iskoristiti svoju RPM bazu podataka datoteka kao što koristite Tripwire, ali samo ako ste sigurni da nije mijenjana. Kopirajte RPM bazu na disketu i stalno ju držite izvan mreže. Debian distribucija vjerojatno ima nešto slično.

Točnije, datoteke /var/lib/rpm/fileindex.rpm i /var/lib/rpm/packages.rpm najvjerojatnije neće stati na jednu disketu. Sažete bi trebale stati svaka na svoju.

Sada, ako je vaš sustav kompromitiran, možete koristiti naredbu:

root#  rpm -Va
za provjeru svake datoteke na sustavu. Pogledajte man stranicu RPM-a -- postoje neke opcije za manje poruka.

To znači da će se, svaki put kada se sustavu doda novi RPM, RPM baza morati ponovo arhivirati. Vi odlučite što vam je draže -- prednosti ili nedostaci.

9.4 Praćenje logova vašeg sustava

Vrlo je važno da informacije koje dolaze od sysloga nisu kompromitirane. Dati dozvole za čitanje i pisanje u /var/log samo ograničenom broju korisnika dobar je početak.

Svakako pratite što se tamo bilježi, posebno za auth. Višestruki neuspješni logini, na primjer, mogu značiti pokušaj provale.

Gdje ćete naći log datoteke ovisi o vašoj distribuciji. Na Linux sustavu koji slijedi Linux Filesystem Standard, kao što je Red Hat, potražit ćete ih u /var/log i tamo provjeravati messages, mail.log i druge.

Gdje vaša distribucija logira stvari saznat ćete u svojoj /etc/syslog.conf datoteci. To je datoteka koja govori syslogd-u (demonu za logiranje sustava) gdje da logira razne poruke.

Također ćete možda htjeti konfigurirati svoju skriptu ili demon za rotiranje logova, tako da logovi traju dulje i da imate više vremena za njihovo pregledavanje. Na novijim distribucijama Red Hata pogledajte paket logrotate. Druge distribucije vjerojatno imaju sličan proces.

Ako je s vašim logovima netko petljao, pokušajte saznati kada je petljanje počelo i s čim je sve izgleda petljano. Postoje li dugi periodi vremena za koje nema podataka? Dobra je ideja provjeriti backup traka (ako ih imate) za izvorne log datoteke.

Uljez obično mijenja logove kako bi prikrio tragove, ali svejedno ih treba provjeravati za čudne stvari. Možda primjetite kako je uljez pokušavao ući ili iskoristiti sigurnosnu rupu kako bi dobio rootov račun. Možda vidite logove prije nego što ih uljez stigne izmjeniti.

Trebali biste odvojiti auth od drugih logova, kao što su pokušaji korištenja su za zamjenu korisnika, pokušaje logina i druge informacije o korisnicima.

Ako je to moguće, konfigurirajte syslog da šalje kopije svih najvažnijih podataka na siguran sustav. To će spriječiti uljeza u prikrivanju tragova preko brisanja svojih pokušaja logina/su-a/FTP-a/itd. Pogledajte man stranicu syslog.conf i opciju @.

Na kraju, log datoteke su mnogo nekorisnije kada ih nitko ne čita. Oduzmite si malo vremena svako malo i pogledajte svoje logove, te probajte shvatiti kako izgleda običan dan. To će vam pomoći u uočavanju neobičnih stvari.

9.5 Primjenite sve nove nadogradnje sustava

Većina korisnika Linuxa instalira s CD-ROM-a. Zbog brzog ritma sigurnosnih ispravaka, stalno izlaze novi (ispravljeni) programi. Prije nego što se povežete s mrežom, pametno je provjeriti FTP poslužitelj svoje distribucije (na primjer ftp.redhat.com) i nabaviti sve novije pakete otkad ste primili CD-ROM distribucije. Često takvi paketi sadrže važne sigurnosne ispravke, pa je pametno instalirati ih.


Sljedeći dio Prethodni dio Sadržaj