Как другие администраторы отслеживают свои серверы, чтобы обнаружить любой несанкционированный доступ и / или попытки взлома? В более крупной организации легче привлечь внимание людей к проблеме, но в небольшом магазине, как вы можете эффективно контролировать свои серверы?
Я обычно просматриваю журналы сервера в поисках чего-либо, что бросается мне в глаза, но очень легко что-то упустить. В одном случае нас предупредила нехватка места на жестком диске: наш сервер стал FTP-сайтом - они отлично справились с сокрытием файлов, вмешиваясь в таблицу FAT. Если вы не знаете конкретное имя папки, оно не будет отображаться в проводнике, из DOS или при поиске файлов.
Какие еще методы и / или инструменты используют люди?
Отчасти это зависит от того, на какой системе вы работаете. Я выделю несколько предложений для Linux, потому что я больше с ним знаком. Большинство из них применимо и к Windows, но я не знаю инструментов ...
Используйте IDS
SNORT® - это система предотвращения и обнаружения сетевых вторжений с открытым исходным кодом, использующая язык, управляемый правилами, который сочетает в себе преимущества методов проверки на основе сигнатур, протоколов и аномалий. С миллионами загрузок на сегодняшний день Snort является наиболее широко применяемой технологией обнаружения и предотвращения вторжений во всем мире и фактически стал стандартом в отрасли.
Snort считывает сетевой трафик и может искать такие вещи, как «тестирование пера», когда кто-то просто запускает полное сканирование метасплоитов ваших серверов. На мой взгляд, хорошо знать такие вещи.
Используйте журналы ...
В зависимости от вашего использования вы можете настроить его так, чтобы вы знали, когда пользователь входит в систему или входит в систему с нечетного IP-адреса, или когда root входит в систему, или когда кто-то пытается войти в систему. У меня есть сервер, отправь мне электронное письмо каждый сообщение журнала выше, чем отладка. Да хоть заметку. Я, конечно, фильтрую некоторые из них, но каждое утро, когда я получаю 10 писем о чем-то, мне хочется исправить это, чтобы это перестало происходить.
Контролируйте свою конфигурацию - я на самом деле держу весь свой / и т. Д. В subversion, чтобы я мог отслеживать изменения.
Выполните сканирование. Такие инструменты, как Lynis и Руткит-охотник может предупреждать вас о возможных дырах в безопасности ваших приложений. Существуют программы, которые поддерживают хеш-дерево всех ваших бункеров и могут предупреждать вас об изменениях.
Следите за своим сервером - точно так же, как вы упомянули дисковое пространство - графики могут подсказать вам, если что-то необычно. я использую Кактусы следить за процессором, сетевым трафиком, дисковым пространством, температурой и т. д. выглядит странно это является странно, и вы должны выяснить, почему это странно.
Автоматизируйте все, что можете ... взгляните на такие проекты, как OSSEC http://www.ossec.net/ Установка клиент / сервер ... действительно простая установка и неплохая настройка. Простой способ узнать, было ли что-то изменено, включая записи реестра. Даже в небольшом магазине я бы посмотрел на настройку сервера системного журнала, чтобы вы могли переваривать все журналы в одном месте. Проверить агент системного журнала http://syslogserver.com/syslogagent.html если вы просто хотите отправить журналы Windows на сервер системного журнала для анализа.
В Linux я использую проверка журнала регулярно сообщать о подозрительных записях в моих файлах журнала. Это также очень полезно для обнаружения неожиданных событий, не связанных с безопасностью.