Ok, je hebt je systeem gecheckt, en je hebt vastgesteld dat het zo veilig mogelijk is, en je bent klaar om je computer online te zetten. Er zijn een aantal dingen die je nu moet doen om je voor te bereiden op een indringer, zodat je deze snel kan uitschakelen, en het zo weer terug draaiende te maken.
Discussies over backup methodes en opslag is buiten beschouwing van dit document, maar hier zijn een aantal woorden die te maken hebben met backups en security:
Als je minder dan 650mb data op een partitie hebt staan, is een CD-R kopie een goede manier (Om dat er later moeilijk mee te knoeien is, en als het er goed op staat kan het lang mee gaan). Tapes en andere re-writeable media moet write-protected zijn zo snel je backup klaar is. En leg ze dan op een veilige plaats zodat er niet mee geknoeid kan worden. Zorg dat je je backups maakt in een secure off-line gebied. Een goede backup laat je zeker weten dat je een goed iets hebt om je systeem van te herstellen.
Een zes-tape kringloop is makkelijk bij te houden. Dit houd in vier tapes voor de werkdagen, een tape voor de even Vrijdagen, en een voor de oneven Vrijdagen. Voor een periodieke backup uit bleke dag, en een volledige backup op de desbetreffende Vrijdag tape. Als je particuliere belangrijke veranderingen hebt gemaakt of belangrijke data hebt toegevoegd aan je system, een volledige backup kan dan handig zijn.
Na een inbraak kun je je RPM database gebruiken zoals je tripwire
ook
gebruikt, maar dan moet je wel zeker zijn dat deze niet veranderd is. Je moet je RPM
database copieëren naar een floppy, en zorg dat deze copieëren altijd off-line
gebeuren.
De Debian distributie heeft ook zoiets.
DE files /var/lib/rpm/fileindex.rpm
and
/var/lib/rpm/packages.rpm
zullen meestal niet op een floppy passen.
Maar als ze ingepakt zijn, moet elk op een floppy passen.
Nu, als er op je systeem is ingebroken, moet je het volgende commando gebruiken:
root# rpm -Va
om elke file op je filesysteem na te kijken. Zie de rpm
, man page,
om er meerdere opties aan toe te voegen zodat het niet zoveel laat zien.
Onthoud dat je RPM binary niet veranderd mag zijn.
Dit betekend elke keer dat er een nieuwe RPM is toegevoegd aan het systeem dat de RPM database opnieuw moet worden gegenereerd. Je moet beslissen tussen de voordelen en nadelen.
Het is erg belangrijk dat de informatie die van syslog
komt niet
is veranderd. De files in /var/log
alleen leesbaar en schrijfbaar
maken voor maar een bepaald aantal gebruikers is al een goed begin.
Houd een oogje op wat er daar wordt geschreven, vooral onder de
auth
faciliteit. Vele gefaalde logins, bijvoorbeeld, kunnen
duiden op een poging tot inbraak.
Waar je moet kijken voor je log files hangt af van je distributie. In een
Linux dat voldoet aan de "Linux Filesystem Standard", zoals Red Hat,
kun je kijken in /var/log
en kijk in messages
, mail.log
,
en andere.
Je kunt meer vinden over waar je distributies alles logt door te kijken in
je /etc/syslog.conf
file. De file verteld waar syslogd
(de syslog deamon) waar hij de verschillende berichten moet zetten.
Je kan ook je log-rotating scripts configureren om je log files langer
te bewaren, zodat je meer tijd hebt om ze door te kijken. Kijk naar
het logrotate
package van een recente Red Hat distributie. Andere
distributies hebben ook zulke processen.
Als er met je log files is geknoeid, zie dan of je kan achterhalen wanneer het gestart is, en met welke dingen er geknoeid zijn. Zijn er lange periodes van tijd die niet kunnen? Kijk dan naar je backup tapes (als je die hebt) voor on-verknoeide log files.
Log files worden vaak veranderd door een indringer om zijn sporen uit te wissen, maar ze kunnen nog steeds opgemerkt worden door rare gebeurtenissen. Je kan de indringer opmerken als deze toegang probeert te krijgen, of als deze een programma heeft misbruikt om root te worden. Je kan log files zien voordat de indringer ze heeft veranderd.
Je moet er ook altijd zeker van zijn dat je het auth
gedeelte gescheiden
houdt van de andere log data, o.a de pogingen om gebruiker te veranderen met su
,
login pogingen, en andere user accounting informatie.
Als het mogelijk is configureer je syslog
zo dat het belangrijke
informatie doorstuurt naar een andere computer. Dit houdt de indringer tegen
om zijn sporen uit te wissen en zijn login/su/ftp/etc pogingen te wissen.
Zie de syslog.conf
man page, en kijk naar de @
optie.
Er zijn een aantal meer uitgebreide syslogd
programma's.
Kijk op
http://www.core-sdi.com/ssyslog/ voor Secure Syslog. Secure Syslog
stelt je instaat om je log entries te versleutelen en zo zeker te weten
dat er niet mee geknoeid kan worden.
Een andere syslogd
met meer mogelijk heden is
syslog-ng. Het stelt je in staat om meer flexibiliteit
toe toevoegen in het loggen van berichten en je kan ook je remote
je data die je naar een andere computer stuurt beschermen tegen
verknoeiing.
Tot slot, log files zijn veel minder bruikbaar als niemand ze leest. Maak altijd een beetje tijd vrij om naar je log files te kijken, om zo een gevoel te krijgen van hoe ze er op een gewone dag uitzien. Dit helpt om ab-normale situaties eruit te pikken.
De meeste Linux gebruikers installeren vanaf een CDROM. Door de snelle natuur van security fixes, nieuwe (gerepareerde) programma's worden steeds maar uitgebracht. Voordat je je machine aan een netwerk verbindt, is het goed om op een goede FTP site de update's te gaan halen. Vaak houden ze een belangrijke security reparatie in, dus is het een goed idee ze te installeren.