Мониторинг системы безопасности


Итак, вы считаете, что сервер в безопасности. Может быть.

К сожалению, существуют взломщики, которые не находят лучшего занятия, кроме как держать себя в курсе последних «прорех» в защите. Опираясь на эти знания, они пытаются проникнуть в систему, которая, по их мнению, уязвима. Даже если вы добросовестно читаете сообщения рассылки FreeBSD-security и накладываете все появляющиеся «заплатки», однажды защита системы может быть взломана. Хотя сказать точно, что система взломана, не удастся, следующие приемы помогут узнать о таких попытках:

  • Стремитесь понимать работу своих серверов. Регулярно запускайте на них ps -axx. Изучите, какие процессы обычно бывают запущены. Если тот или иной процесс не распознается, его надо исследовать.
  • Обращайте внимание на открытые сетевые порты с помощью netstat -na и sockstat. Какие порты TCP и UDP должен «прослушивать» сервер? Если порт не распознается, исследуйте его. Наверное, это что-то безобидное, но это может быть и черным ходом злоумышленника.
  • Необъяснимые неполадки в системе также являются подсказкой. Многие злоумышленники неуклюжи, и у них мало навыков системного администратора. Они затевают бессмысленные атаки и считают себя «крутыми».
  • По-настоящему квалифицированные взломщики не только заметают следы, но и стараются не причинить вреда системе, чтобы не насторожить администратора. Поэтому необычайно высокая стабильность системы также должна настораживать.
  • Перезагрузки, происходящие без видимой причины, могут быть сигналом установки нового ядра. Также они могут свидетельствовать о неполадках в аппаратном обеспечении и неверной конфигурации, поэтому в любом случае такие факты необходимо исследовать.
  • FreeBSD отсылает вам каждый день электронные письма с информацией о состоянии системы. Читайте их. Храните их. Если что-то покажется подозрительным — исследуйте.

Существует два инструмента защиты, которые я особенно рекомендую для понимания работы системы. Первый инструмент — это /usr/ports/sysutils/lsof, который перечисляет все файлы, открытые на компьютере. Чтение вывода lsof(8) — это обучение само по себе; возможно, вы и не догадывались, что на сервере запущено столько лишнего. Странные открытые файлы свидетельствуют либо о недостаточном понимании системы, либо о чьих-то нежелательных действиях.

Второй инструмент — /usr/ports/security/nessus. Это автоматизированный сканер слабых мест в системе защиты. Аудит безопасности с помощью nessus(8) — это замечательный способ узнать, что может увидеть взломщик в вашей системе.

Комментарии запрещены.