,,, forreste række foranstaltninger som firewalling, stærk autenticitet, og bor på toppen af sikkerhedsmæssige opdateringer er bindende foranstaltninger for at holde dig sikker.men du er også nødt til at se dit system og' s sundhed ofte og sørge for, et kompromis har ' t slippe forbi dig ubemærket.et godt sted at begynde med en indtrængen detektionssystem (id), der overvåger din maskine ' s ressourcer og flag, ændringer, der kan tyde på en ubuden gæst eller en rootkit.de avancerede indtrængen påvisning miljø (aide) er en åben kilde - id 'er, at man kan oprette en weekend.,, før vi går i gang, selv om det ' er afgørende at forstå, hvordan et id - kort som assistent funktioner.assistent er en vært baseret id, hvilket betyder, at den skanner filesystem og tømmer den attributter for vigtige sager, fortegnelser og udstyr.hver gang, det er den sammenligner resultaterne i forhold til den foregående, ", kendte godt " data, og indberetninger, hvis noget ændrer sig.men denne ulempe er, at hvis dit system er allerede et kompromis inden du installere og drive assistent i begyndelsen, vil du og', ikke være i stand til at opdage det, naturligvis også chancerne for, at systemet er allerede et kompromis er ' ikke højt, men det er en kendsgerning, at den eneste måde at garantere det er det rene er at installere og drive assistent lige efter du installere os, men før du tilslutning til nettet.sætte det på listen, når de nye maskiner fra nu af, og til deres eksisterende linux kasser, gør det så godt, som du kan.,, assistent er linux, og de fleste andre unix - operativsystemer.det er fastsat i de fleste af de udlodninger, men de vil måske overveje at tage koden fra projektet ' s hjemmeside og udarbejdelse af fra kilden og mdash. der er nogle avancerede løsninger, som kun er til rådighed på udarbejde tid via. /konfigurere manuskript.hvis du og' har allerede installeret en assistent binære, løb, assistent - v, som vil smide ud versionsnummer og udarbejde tid muligheder.for nu, vi ', vil tale om de grundlæggende montering og anvendelse.,, opsætning og første løb, medhjælper arbejder sin magi ved at læse i en konfiguration, fil, der indeholder både en liste af telefonbøger og filer til scanning, og attributter for hver angivelse til log.det arbejder sig igennem træet af knudepunkter skal scannes, og skriver en database over de attributter.i øjeblikket er der tretten attributter, der rådgiver kan logge &mdash, herunder tilladelser, ejer, gruppe, størrelse, alle tre timestamps (en, ctime, og mtime) og lavere niveau, ting som inode, block tæller, antal forbindelser osv.,, på toppen af dem, assistent understøtter flere har algoritmer med som det kan skabe checksums for hvert enkelt dossier.ved misligholdelse, liste omfatter md 5, sha-1, sha-256, sha-512, rmd-160, tiger, haval, og crc-32.hvis du samle assistent med mhash mulighed for konfigurationen manuskript, kan du også bruge spøjls og whirlpool hashes.,, binære pakker nok omfatte et rimeligt eksempel konfiguration fil, /etc /assistent /aide.conf, og mdash; i en smule, og' vil forklare, hvorfor du måske ønsker at anvende en anden placering, men for øjeblikket åbne filen i en redaktør, og tage et kig på den konfiguration, direktiver, nær toppen er regel definitioner, som kun bruger leveret navne, efterfulgt af et lige spor, og en liste over attributter og hashes.for eksempel:,,, sizeonly = s + b sizeandchecksum = s + b + md 5 + sha1 reallyparanoid = p + + n + o + g + r + b + m + en + c + md 5 + sha1 + rmd160 + tiger + whirlpool,,, første linje aktiverer den størrelse (s) og blokere regne b) attributter.den anden er md 5 og sha-1 hashes, og den tredje stammer næsten alle støttede træk, herunder inode (i), timestamps m a og c) og en håndfuld yderligere hashes. under disse regel definitioner i ' finder en linje med angivelse af de fortegnelser og filer til kontrol med regelmæssige udtryk baseret formler.for eksempel:,,, /etc sizeandchecksum /sbin reallyparanoid /var størrelse./var /log /*.!/var /spole /. *,,, de første tre linjer er " positive " udtryk, som assistent at medtage alt, hvad der svarer til regelmæssig udtryk.den førende udråbstegn på de to sidste viser en " negative " udtryk, som i dette tilfælde siger, at udelukke de hurtigt skiftende, /var /log /og /var /spole /, telefonbøger.som du kan se, hver enkelt positivt udtryk efterfulgt af navnet på en af de i artikel definitioner.du kunne også bruge en bogstavelig snor i stedet for en regel navn her, såsom /var /www /intranet p + r + b + en + sha256, og mdash; den gældende regel navne er bare lettere at læse, at definere deres regelmæssige., korrekt udtryk og regler er den vanskeligste del af assistent.for mange dokumenter og registre, og du kan ende med en meget lang kævler til at læse om alle integritet, tjek.for snævert et sæt, risikerer man mangler en ubuden gæst.det ' er heller ikke trivially let at finde den rette balance af regelmæssige udtryk syntaks, når du vil matche nogle filer i et register hierarki, men ikke andre.det ' er en god idé at konsultere assistent brugsanvisning og læse, mand aide.conf, om hjælp, som wildcards med positive og negative udtryk, der naturligvis ', er ingen erstatning for faktisk prøver din konfiguration med en virkelig løbe.løb, sudo aide - lokalitet, og rådgiver scanninger udpegede filer og vejvisere, at skrive sine resultater for en database.placeringen af databasen er bestemt af en linje i den form, database =, url, i konfigurationen fil.data er også en kopi til stdout, så du kan se på processen fra en terminal vindue.hvis du og' er mangler nogle filer og er nødt til at justere deres udtryk, kan du gøre det og løbe, før proceduren.,, at sammenligne efterfølgende kontrol, nu kommer det vigtige (og potentielt forvirrende).tiden går, og når du mærker det ' er forsigtig, du beslutter dig for at køre en anden scanning med sudo aide - check.bortset fra, at medmindre du angive ellers assistent ser for en konfiguration fil i det nuværende arbejde over, og mdash, som rejser spørgsmålet om, hvor du skulle beholde den altafgørende konfiguration fil.,, der ved første øjekast, det ligner du bør opbevare den i en standard beliggenhed, /etc /assistent /,, men at ', er faktisk en dårlig idé, for hvis dit system var revnet, ubudne gæster ikke kunne kun læse din assistent konfiguration og se til udgivere, som du og' har valgt at ignorere, men de kunne ændre url af produktionen - databasen for at snyde, så efterfølgende assistent scanninger. den bedste plan, er i virkeligheden at lagre aide.conf fil på flytbare medier (fortrinsvis i rom), at du bestiger lige før en scanning.af samme årsager er det sikreste sted at opbevare assistent ' s produktion database er også på denne flytbare medier, så i konfigurationen fil databasen linje kan være database = /media /aide_cd_012345 /medhjælper. db.fortæl assistent, hvor konfiguration fil er med, - - ud, command-line parameter.,, således at den korrekte scanning kommando at løbe (i dette eksempel), sudo assistent... check - ud = /media /aide_cd_012345 /medhjælper. conf,.,, hvis nogen erstatter din kopi af /sbin /fsck, den anden scanning bør lægge mærke til det, og det på stdout.på den anden side, du kan have god grund til at ændre et system, fil som /etc /pam.conf selv, i hvilket tilfælde kan du ' t skal assistent med et rødt flag, hver gang du scanne.du kan påberåbe sig assistent, sudo aide - ajourføring - ud = /sti //din /aide.conf, både at scanne, og produktionen af en ajourført kopi af databasen.de vil redde den nye database på url du specificere i konfigurationen fil efter, database_out =.hvis du og' er efter passende protokol, vil det være et eller andet sted monteret read-write, og det efterfølgende vil kopiere den nye database til din readonlymedier.,, hvor tit skal du løbe scanninger?det kommer an på maskinen.på stikket computer, der løber dit hus og' s belysning, kontrol og sprinkleranlæg, sjældent.på virksomheden og' s internetportal, daglige mindst.,, ekstra kredit: acls, selinux og database undertegnelse, som du og' har sikkert indset, de kan gøre, er at advare dem om ændrede filer.bolden er på din ret til at anerkende, om ændringen er et tegn på et sikkerhedsbrud.nogle system filer bør aldrig ændre sig; nogle (f.eks. forsøg anordninger) skifter ejer, og tilladelser under normal drift.du er nødt til at få at vide, hvad dit system, afhængigt af deres system, kan du ikke finde den generiske assistent binaries udleveret af deres distribution op til opgaven.det er, fordi der er nogle egenskaber, som de kan overvåge kun, hvis de er konfigureret som indsamler gang muligheder, som f.eks. støtte til selinux ' s sikkerhed sammenhænge, adgangskontrol lister, og udvidet filattributter.hvis du har brug for nogen af disse træk, du og' 11 vil udarbejde rådgiver dig fra kilden.heldigvis er det ' er ikke svært. denne standard nationale samlingsregering de lænker, er alt, hvad der kræves.,, som nævnt ovenfor, udarbejde tid muligheder omfatter også støtte til yderligere hash algoritmer.som du vil, er i vid udstrækning et spørgsmål om personlig matematiske præference.men der er også en anden mulighed for at udarbejde tid, bør du overveje, om du vil have en rigtig sikker fælde.konfigureringen assistent med hmac (hash baseret besked autentificeringskode) støtte i henhold til cryptographically tegn både konfiguration fil og output - databasen, er dette en udarbejde tid mulighed, ikke en driftstid mulighed, for at tilføje det i forhindrer, assistent, binære fra en scanning i tilfælde af, at undertegnelsen af ud fil eller en database er ' t match.at ', er hvad du vil, nemlig en binær, som ikke kan blive narret til ved hjælp af en kompromitteret database.for lad ' s ansigt det — readonlymedier du ' genanvendelse er lige så sikkert som det skab, du opbevarer det i.at konfigurere assistent med hmac støtte, kan du læse den sidste del af hushjælpen online - manualen.du og' 11 skal hente et par af krypteringsnøgler, men ellers ' en ret enkel proces.efter at det ', læn dig tilbage og scanning som sædvanlig.
weekend - projektet: afsløring af indtrængen på linux med assistent
Next Page:folie firesheep og andre gener på linux