Протоколы Internet


Сетевая безопасность - часть 22


Но само по себе этого недостаточно - администраторы должны постоянно контролировать ситуацию. Для этого рекомендуется регулярно выполнять команды who и ps, которые сообщают список активных пользователей и процессов. Команды ps -aux для BSD и ps -ef для System 5 выведут на экран список пользователей, которые инициировали активные процессы. Вы можете также воспользоваться командой ls -lR, чтобы просмотреть принадлежность и уровни доступности файлов в каталоге. Хакеры часто оставляют на диске файлы, чтобы облегчить себе в будущем доступ или обеспечить системные привилегии. Для контроля ситуации следует время от времени выполнять команду ls -a | grep ‘^\.’, которая ищет файлы, начинающиеся с символа точка. Хакеры часто полагают, что пользователь воспримет файлы типа .mail или .xxxx как системные, и не будет беспокоиться. Если вами найдены файлы, вызывающие подозрения, следует немедленно проконсультироваться с администратором сети.

Объектом самого пристального внимания должны быть файлы /etc/inetd.conf, /etc/hosts.equiv, /etc/hosts.ltd, /etc/passwd и .rhosts. Доступ к ним должен быть ограничен, их копии полезно хранить в недоступном месте. Полезно также записать в отдельный файл основные параметры ваших рабочих файлов, это позволит вам заметить факт их модификации. Чтобы обнаружить “сюрпризы”, оставленные непрошеными визитерами, можно воспользоваться командой find / -user root -perm -4000 -print, которая ищет файлы, принадлежащие root и устанавливающие уровень привилегий -4000. Команда Find может использоваться для проверки уровня доступа к жизненно важным файлам (-perm -2 или -perm -2000), a также файлов без определенного хозяина (-nouser -o -nogroup). Последние файлы должны быть удалены.

Странная активность в системе в необычное время суток, в необычные дни или с неизвестного удаленного терминала должна вызывать пристальное внимание. Для контроля активности в ЭВМ (UNIX) служит команда last. Эта команда отображает содержимое файла /usr/adm/wtmp, где содержится информация о том кто, когда и откуда заходил в систему. Ниже приведен небольшой фрагмент результата работы команды last.

Имя пользователя

Терминал

Имя домена

Дата входа

Время входа

ftp

ftp

svalla.smart.net

Sat Mar 30

02:57

semenov

ttyp3

flta.Helsinki.FI

Fri Mar 29

11:51

ftp

ftp

osilab.nstu.nsk.

Fri Mar 29

08:21

ftp

ftp

fsite.dialup.ru

Thu Mar 28

16:11

ftp

ftp

ix-cha-nc9-55.ix

Thu Mar 28

04:59

ftp

ftp

pmax.dymaxion.ns

Thu Mar 28

03:24

ftp

ftp

slip-tsr.srcc.ms

Tue Mar 26

6:11

FTP

FTP

pmax.dymaxion.ns

Sun Mar 24

05:34

bobyshev

ttyp2

131.169.1.233

Mon Nov 27

09: 57

FTP

FTP

ftp01.blue.aol.c

Mon Nov 27

03:20

FTP

FTP

foley.ripco.com

Mon Nov 27

01:03

<


Начало  Назад  Вперед



Книжный магазин