Verder Terug Inhoud

9. Security Preparatie (voordat je online gaat)

Ok, je hebt je systeem gecheckt, en je hebt vastgesteld dat het zo veilig mogelijk is, en je bent klaar om je computer online te zetten. Er zijn een aantal dingen die je nu moet doen om je voor te bereiden op een indringer, zodat je deze snel kan uitschakelen, en het zo weer terug draaiende te maken.

9.1 Maak een volledige Backup van je Machine

Discussies over backup methodes en opslag is buiten beschouwing van dit document, maar hier zijn een aantal woorden die te maken hebben met backups en security:

Als je minder dan 650mb data op een partitie hebt staan, is een CD-R kopie een goede manier (Om dat er later moeilijk mee te knoeien is, en als het er goed op staat kan het lang mee gaan). Tapes en andere re-writeable media moet write-protected zijn zo snel je backup klaar is. En leg ze dan op een veilige plaats zodat er niet mee geknoeid kan worden. Zorg dat je je backups maakt in een secure off-line gebied. Een goede backup laat je zeker weten dat je een goed iets hebt om je systeem van te herstellen.

9.2 Een goed Backup plan kiezen

Een zes-tape kringloop is makkelijk bij te houden. Dit houd in vier tapes voor de werkdagen, een tape voor de even Vrijdagen, en een voor de oneven Vrijdagen. Voor een periodieke backup uit bleke dag, en een volledige backup op de desbetreffende Vrijdag tape. Als je particuliere belangrijke veranderingen hebt gemaakt of belangrijke data hebt toegevoegd aan je system, een volledige backup kan dan handig zijn.

9.3 Backup Je RPM of Debian File Database

Na een inbraak kun je je RPM database gebruiken zoals je tripwire ook gebruikt, maar dan moet je wel zeker zijn dat deze niet veranderd is. Je moet je RPM database copieëren naar een floppy, en zorg dat deze copieëren altijd off-line gebeuren. De Debian distributie heeft ook zoiets.

DE files /var/lib/rpm/fileindex.rpm and /var/lib/rpm/packages.rpm zullen meestal niet op een floppy passen. Maar als ze ingepakt zijn, moet elk op een floppy passen.

Nu, als er op je systeem is ingebroken, moet je het volgende commando gebruiken:

                        root#  rpm -Va
om elke file op je filesysteem na te kijken. Zie de rpm, man page, om er meerdere opties aan toe te voegen zodat het niet zoveel laat zien. Onthoud dat je RPM binary niet veranderd mag zijn.

Dit betekend elke keer dat er een nieuwe RPM is toegevoegd aan het systeem dat de RPM database opnieuw moet worden gegenereerd. Je moet beslissen tussen de voordelen en nadelen.

9.4 Houd je Systeem Accounting data in de gaten

Het is erg belangrijk dat de informatie die van syslog komt niet is veranderd. De files in /var/log alleen leesbaar en schrijfbaar maken voor maar een bepaald aantal gebruikers is al een goed begin.

Houd een oogje op wat er daar wordt geschreven, vooral onder de auth faciliteit. Vele gefaalde logins, bijvoorbeeld, kunnen duiden op een poging tot inbraak.

Waar je moet kijken voor je log files hangt af van je distributie. In een Linux dat voldoet aan de "Linux Filesystem Standard", zoals Red Hat, kun je kijken in /var/log en kijk in messages, mail.log, en andere.

Je kunt meer vinden over waar je distributies alles logt door te kijken in je /etc/syslog.conf file. De file verteld waar syslogd (de syslog deamon) waar hij de verschillende berichten moet zetten.

Je kan ook je log-rotating scripts configureren om je log files langer te bewaren, zodat je meer tijd hebt om ze door te kijken. Kijk naar het logrotate package van een recente Red Hat distributie. Andere distributies hebben ook zulke processen.

Als er met je log files is geknoeid, zie dan of je kan achterhalen wanneer het gestart is, en met welke dingen er geknoeid zijn. Zijn er lange periodes van tijd die niet kunnen? Kijk dan naar je backup tapes (als je die hebt) voor on-verknoeide log files.

Log files worden vaak veranderd door een indringer om zijn sporen uit te wissen, maar ze kunnen nog steeds opgemerkt worden door rare gebeurtenissen. Je kan de indringer opmerken als deze toegang probeert te krijgen, of als deze een programma heeft misbruikt om root te worden. Je kan log files zien voordat de indringer ze heeft veranderd.

Je moet er ook altijd zeker van zijn dat je het auth gedeelte gescheiden houdt van de andere log data, o.a de pogingen om gebruiker te veranderen met su, login pogingen, en andere user accounting informatie.

Als het mogelijk is configureer je syslog zo dat het belangrijke informatie doorstuurt naar een andere computer. Dit houdt de indringer tegen om zijn sporen uit te wissen en zijn login/su/ftp/etc pogingen te wissen. Zie de syslog.conf man page, en kijk naar de @ optie.

Er zijn een aantal meer uitgebreide syslogd programma's. Kijk op http://www.core-sdi.com/ssyslog/ voor Secure Syslog. Secure Syslog stelt je instaat om je log entries te versleutelen en zo zeker te weten dat er niet mee geknoeid kan worden.

Een andere syslogd met meer mogelijk heden is syslog-ng. Het stelt je in staat om meer flexibiliteit toe toevoegen in het loggen van berichten en je kan ook je remote je data die je naar een andere computer stuurt beschermen tegen verknoeiing.

Tot slot, log files zijn veel minder bruikbaar als niemand ze leest. Maak altijd een beetje tijd vrij om naar je log files te kijken, om zo een gevoel te krijgen van hoe ze er op een gewone dag uitzien. Dit helpt om ab-normale situaties eruit te pikken.

9.5 Systeem Updates doen.

De meeste Linux gebruikers installeren vanaf een CDROM. Door de snelle natuur van security fixes, nieuwe (gerepareerde) programma's worden steeds maar uitgebracht. Voordat je je machine aan een netwerk verbindt, is het goed om op een goede FTP site de update's te gaan halen. Vaak houden ze een belangrijke security reparatie in, dus is het een goed idee ze te installeren.


Verder Terug Inhoud