Средство обнаружения вторжений для linux

Защита от вторжений

Afick

Afick (Another File Integrity ChecKer) — инструмент обеспечения безопасности, отслеживающий изменения в вашей файловой системе и позволяющий обнаруживать вторжения.

AIDE — Advanced Intrusion Detection Environment

AIDE — это система обнаружения атак, базирующаяся на хосте (Host-Based Intrusion Detection System, HIDS), свободная альтернатива Tripwire.

Astaro Security Linux

Интегрированное и простое в использовании решение, обеспечивающее безопасность сети.

Bastille

Bastille Linux является отличным средством, обучающим пользователей безопасности и пошаговой защите своей системы, а также и для защиты систем от атак.

BlueProximity

BlueProximity — это программа, которую вы можете использовать для блокировки монитора посредством сотового телефона с Bluetooth. Работа программы основана на протоколе Bluetooth.

Jondo Live-CD/DVD

Специализированная модификация Debian Linux с графическим окружением Xfce.

Samhain

Samhain — это система обнаружения вторжений (host-based intrusion detection system — HIDS), обеспечивающая контроль целостности и мониторинг/анализ логов системы, а также обнаружение руткитов (rootkit detection), контроль портов, обнаружение программ с установленным SUID и скрытых процессов.

Snort

SNORT — это сетевая система обнаружения и предотвращения вторжений (IDS/IPS) с открытым исходным кодом. SNORT использует язык описания правил, который сочетает преимущества методов обследования, основанных на подписях, протоколах и аномалиях.

Suricata

Suricata — открытая система обнаружения и предотвращения атак, базирующейся на принципиально новых механизмах работы.

Источник

Как использовать систему обнаружения вторжений Snort в Linux — CloudSavvy IT

Запустите Snort в Linux и защитите свою сеть с помощью анализа трафика в реальном времени и обнаружения угроз. Безопасность — это все, а Snort — это продукт мирового класса. Эта свинья может просто спасти твой бекон.

Что такое Snort?

Snort анализирует сетевой трафик в режиме реального времени и выявляет любую подозрительную активность. В частности, он ищет все, что может указывать на попытки несанкционированного доступа и другие атаки в сети. Полный набор правила определить, что считается «подозрительным» и что Snort должен делать при срабатывании правила.

Точно так же, как пакеты антивируса и защиты от вредоносных программ полагаются на актуальные определения сигнатур вирусов, чтобы иметь возможность идентифицировать и защищать вас от новейших угроз, правила Snort обновляются и переиздаются часто, так что Snort всегда работает в оптимальном режиме. эффективность.

Правила Snort

• Правила сообщества: Это бесплатные наборы правил, созданные сообществом пользователей Snort.
• Зарегистрированные правила: Эти наборы правил предоставляются Талосом. Они также находятся в свободном доступе, но вы должны зарегистрироваться, чтобы их получить. Регистрация бесплатна и занимает всего несколько минут. Вы получите личное Oinkcode которые вам нужно включить в запрос на скачивание.
• Правила подписки: Это те же правила, что и зарегистрированные правила. Однако подписчики получают правила примерно за месяц до того, как они будут выпущены в виде бесплатных наборов правил для зарегистрированных пользователей. На момент написания 12-месячная подписка начиналась с 29 долларов США для личного использования и 399 долларов США для использования в бизнесе.

Установка Snort

Одно время установка Snort была длительным процессом вручную. Это было несложно, но шагов было много, и можно было легко пропустить один. Основные дистрибутивы Linux упростили задачу, сделав Snort доступным из репозиториев программного обеспечения.

Версии в репозиториях иногда отстают от последней версии, доступной на сайте Snort. При желании вы можете скачать и установить из источника. Пока у вас есть последняя правила, не имеет большого значения, если ваш Snort не самый последний и лучший, если он не древний.

Для исследования этой статьи мы установили Snort на Ubuntu 20.04, Fedora 32 и Manjaro 20.0.1.

Чтобы установить Snort в Ubuntu, используйте эту команду:

В процессе установки вам зададут несколько вопросов. Вы можете найти ответы на эти вопросы, используя ip addr перед началом установки или в отдельном окне терминала.

Обратите внимание на имя вашего сетевого интерфейса. На этом исследовательском компьютере enp0s3.

Также посмотрите на свой айпи адрес. Этот компьютер имеет IP-адрес 192.168.1.24 . Дополнительный « /24 » является бесклассовая междоменная маршрутизация (CIDR) обозначение. Это сообщает нам диапазон сетевых адресов. Это означает, что эта сеть имеет маску подсети 255.255.255.0 , который имеет три ведущих набора по восемь бит (и 3 x 8 = 24). Вам не нужно особо беспокоиться об этом, просто запишите любой ваш IP-адрес, включая нотацию CIDR. Вам необходимо предоставить это как ответ на один из вопросов, при этом последний октет IP-адреса будет изменен на ноль. В нашем примере это 192.168.1.0/24.

Нажмите «Tab», чтобы выделить кнопку «ОК», и нажмите «Enter».

Введите имя сетевого интерфейса и нажмите «Tab», чтобы выделить кнопку «ОК», и нажмите «Enter».

Введите диапазон сетевых адресов в формате CIDR, нажмите «Tab», чтобы выделить кнопку «OK», и нажмите «Enter».

Чтобы установить Snort в Fedora, вам нужно использовать две команды:

На Manjaro нужная нам команда не совсем обычная pacman , это pamac . И нам не нужно использовать sudo :

Когда вас спросят, хотите ли вы собрать Snort из AUR (Репозиторий пользователей Arch) нажмите «Y» и нажмите «Enter». Мы не хотим редактировать файлы сборки, поэтому ответьте на этот вопрос, нажав «N» и нажав «Enter». Нажмите «Y», а затем «Enter», когда вас спросят, следует ли применять транзакцию.

Вам будет предложено ввести пароль.

Были установлены следующие версии Snort:

• Ubuntu: 2.9.7.0
• Fedora: 2.9.16.1
• Манджаро: 2.9.16.1

Вы можете проверить свою версию, используя:

Настройка Snort

Прежде чем мы сможем запустить Snort, необходимо выполнить несколько шагов. Нам нужно отредактировать файл «snort.conf».

Найдите строку с надписью « ipvar HOME_NET any »И отредактируйте его, заменив« любой »диапазоном адресов в нотации CIDR вашей сети.

Сохраните изменения и закройте файл.

Обновление правил Snort

Чтобы убедиться, что ваша копия Snort обеспечивает максимальный уровень защиты, обновите правила до самой последней версии. Это гарантирует, что Snort имеет доступ к новейшему набору определений атак и действий защиты.

Если вы зарегистрировались и получили собственное Oinkcode, вы можете использовать следующую команду, чтобы загрузить набор правил для зарегистрированных пользователей. Фырканье страница загрузки список доступных наборов правил, включая набор правил сообщества, для которого вам не нужно регистрироваться.

Загрузите набор правил для установленной вами версии Snort. Мы загружаем версию 2.9.8.3, которая ближе всего к версии 2.9.7.0 Snort, которая была в репозитории Ubuntu.

-O snortrules-snapshot-2983.tar.gz в окне терминала» width=»646″ height=»97″ onload=»pagespeed.lazyLoadImages.loadIfVisibleAndMaybeBeacon(this);» onerror=»this.onerror=null;pagespeed.lazyLoadImages.loadIfVisibleAndMaybeBeacon(this);»/>

После завершения загрузки используйте эту команду, чтобы извлечь правила и установить их в каталог «/ etc / snort / rules».

Беспорядочный режим

Сетевые карты обычно игнорируют трафик, не предназначенный для их IP-адреса. Мы хотим, чтобы Snort обнаруживал подозрительный сетевой трафик, адресованный любому устройству в сети, а не только сетевой трафик, который отправляется на компьютер, на котором установлен Snort.

Чтобы сетевой интерфейс компьютера Snort прослушивал весь сетевой трафик, нам нужно установить его в неразборчивый режим. Следующая команда вызовет сетевой интерфейс enp0s3 действовать в беспорядочном режиме. Замена enp0s3 с именем сетевого интерфейса, который вы используете на своем компьютере.

Если вы запускаете Snort на виртуальной машине, не забудьте также изменить настройки в гипервизоре для виртуальной сетевой карты, используемой вашей виртуальной машиной. Например, в VirtualBox вам нужно перейти в Settings > Network > Advanced и в раскрывающемся списке «Беспорядочный режим» выберите «Разрешить все».

Запуск Snort

Теперь вы можете запустить Snort. Формат команды:

Замените диапазон IP-адресов своей сети вместо 192.168.1.0/24 .

В этой команде используются следующие параметры командной строки:

• -d: Отфильтровывает пакеты прикладного уровня.
• -l / var / журнал / snort /: Устанавливает каталог регистрации.
• -h 192.168.1.0/24: Это не устанавливает домашнюю сеть, которая была установлена ​​в файле «snort.conf». Если для этого значения установлено то же значение, что и для домашней сети, журналы структурированы таким образом, что содержимое подозрительных удаленных компьютеров записывается в каталоги, названные в честь каждого удаленного компьютера.
• -Консоль: Отправляет предупреждения в окно консоли.
• -c /etc/snort/snort.conf: Указывает, какой файл конфигурации Snort использовать.

Snort прокручивает большую часть вывода в окне терминала, а затем переходит в режим мониторинга и анализа. Если он не увидит какую-либо подозрительную активность, вы больше не увидите вывод на экран.

С другого компьютера мы начали генерировать вредоносную активность, которая была направлена ​​непосредственно на наш тестовый компьютер, на котором был запущен Snort.

Snort определяет сетевой трафик как потенциально вредоносный, отправляет предупреждения в окно консоли и записывает записи в журналы.

Атаки, классифицируемые как «утечки информации», указывают на то, что на вашем компьютере была предпринята попытка получить некоторую информацию, которая могла бы помочь злоумышленнику. Это, вероятно, указывает на то, что кто-то проводит разведку вашей системы.

Атаки, классифицированные как атаки типа «отказ в обслуживании», указывают на попытку завалить ваш компьютер ложным сетевым трафиком. Атака пытается перегрузить ваш компьютер до такой степени, что он не может продолжать предоставлять свои услуги.

Чтобы убедиться, что неразборчивый режим работает правильно и мы защищаем весь диапазон сетевых адресов, мы направим вредоносный трафик на другой компьютер и посмотрим, обнаружит ли его Snort.

Активность обнаруживается и сообщается, и мы видим, что эта атака была направлена ​​против другого компьютера с IP-адресом 192.168.1.26 . Snort отслеживает весь диапазон адресов этой сети.

Следующие шаги

Чтобы поддерживать бдительность, Snort нужны актуальные правила. Вы можете написать небольшой скрипт и поместить в него команды для загрузки и установки правил, а также установить cron работа автоматизировать процесс периодически вызывая сценарий. В тушеная свинина script — это готовый сценарий, предназначенный именно для этого, если вы не хотите писать свой собственный.

Snort не имеет внешнего интерфейса или графического пользовательского интерфейса. Сторонние проекты создали несколько, и вы, возможно, захотите изучить некоторые из них, например Snorby и Squil.

Источник

Средство обнаружения вторжений для linux

José Salvador González Rivera — активный участник Linux Users Group Puebla (Мексика). Он часто участвует в акциях пропагандирующих использование свободного программного обеспечения, в частности Linux. Недавно получил ученую степень по компьютерным системам. Вы можете связаться с ним по адресам jsgr(at)tec.com.mx и jsgr(at)linuxpuebla.org.

Перевод на Русский:
Kolobynin Alexey

Содержание:

• Введение
• Почему Debian GNU/Linux?
• Утилиты, наблюдающие за машиной
• Обнаружение сканера портов
• Проверка целостности
• Анализ логов
• Сетевые утилиты
• Snort в режимах снифера и регистратора пакетов
• Режим детектора вторжений Snort
• Другие полезные утилиты
• Обнаружение снифера
• Обнаружение руткитов
• Ссылки
• Страница отзывов

Обнаружение вторжения средствами Debian GNU/Linux

В настоящее время большинство информации хранится в цифровом виде на электронных носителях, и, соответственно, стало гораздо проще получить доступ к ней через компьютерные сети. Последние позволяют нам удаленно получить финансовые, правительственные, военные, промышленные или коммерческие данные. К сожалению, эти данные — отличная мишень для злонамеренных людей, которые никогда не слышали о нравственных нормах, желающих заполучить или уничтожить информацию.

Против бессовестных людей сложно что-либо предпринять. В этой короткой статье я сделаю обзор способов и инструментов, которые мы можем использовать в Debian GNU/Linux для обнаружения и выслеживания злоумышленников. Я не буду воспроизводить содержание руководств, а расскажу о том, что может случиться в реальной жизни.

_________________ _________________ _________________

Введение

При выборе операционной системы Linux, необходимо рассмотреть множество доступных дистрибутивов. Большинство из них основаны на RedHat, например, Conectiva (Бразилия), Hispa source (Испания), Mandrake (Франция), SuSE (Германия), Caldera и многие другие, использующие менеджер пакетов RPM. Есть также Slackware, который пытается быть ближе к традиционной Unix, используя только архивы .tgz. «Почти» все они разработаны коммерческими компаниями, чего нельзя сказать о Debian. Debian предоставляет менеджер пакетов (DPKG), который помогает нам обновлять систему, так как автоматически проверяет обновления в Интернете. Также он проверяет зависимости, что делает администрирование системы проще, и, если говорить о патчах по безопасности, позволяет находиться системе в актуальном состоянии.

Почему Debian GNU/Linux?

Debian также обладает несколькими важными свойствами:

1) У него нет коммерческого предназначения, и на него не влияют потрясения на рынке.
2) У него есть хорошая система отслеживания ошибок, проблемы решаются менее чем за 48 часов.
3) С самого начала главным приоритетом разработчиков была разработка полной и надежной операционной системы.
4) Он разрабатывается добровольцами со всего мира.

В каждой новой версии добавляется поддержка новой аппаратной архитектуры, на данный момент есть поддержка для Alpha, ARM, HP PA-RISC, Intel x86, Intel IA-64, Motorola 680×0, MIPS, MIPS (DEC), Power PC, IBM S/390, Sparc, система также работает на Sun UltraSparc и Hitachi SuperH. Это Linux система, поддерживающая наибольшее число платформ.

Среди существующих пакетов Debian есть различные утилиты для обнаружения вторжения в реальном времени, способные обнаружить недружелюбное поведение в соединениях. Их можно разделить на два типа: одни следят за попытками сетевых атак, вторые следят за особыми действиями машины.

Утилиты, наблюдающие за машиной

Мы используем PortSentry для обнаружения сканеров портов, TripWire для обнаружения изменений в системе и LogSentry для анализа логов. Первая и последняя утилиты — часть набора TriSentry от Psionic Technologies.

Обнаружение сканера портов

PortSentry следит за портами нашей системы и выполняет действие (обычно блокировку), при обнаружении попытки соединения с портом, который не должен быть виден извне.

Домашняя страница программы http://www.psionic.com/products/portsentry.html. Программа доступна для Solaris, BSD, AIX, SCO, Digital Unix, HP-UX и Linux.

В Debian она может быть установлена при помощи инструкции:

apt-get install portsentry

Могут быть выбраны разные режимы работы: классический режим, стелс и продвинутый режим. Конфигурация описана в файле /usr/local/psionic/portsentry/portsentry.conf.

Я взял основные опции из статьи José Torres Luque в ES Linux Magazine, вот они:

TCP_PORTS, здесь вы определяете порты, которые будут контролироваться в классическом и стелс режимах. Автор приводит для примера три списка портов для различных уровней чувствительности программы. Максимальное количество портов — 64.

UDP_PORTS, то же что и выше, но для UDP портов.

ADVANCED_PORTS_TCP, ADVANCED_PORTS_UDP, указывают максимальный номер порта, который будет использоваться в продвинутом режиме. Каждый порт с номером не большим чем этот, если он не исключен, будет проверяться. Максимальный указанный номер может быть 65535. Однако рекомендуется указывать номер не больший 1024, чтобы избежать ложной тревоги.

ADVANCED_EXCLUDE_TCP, ADVANCED_EXCLUDE_UDP, указывают список исключенных портов. Порты из этого списка не будут проверяться в продвинутом режиме. Здесь вы указываете порты, предназначенные для удаленных клиентов и те, которые не предоставляют реальную услугу, например, ident.

IGNORE_FILE, здесь мы указываем имя файла, куда мы поместили IP адреса, которые будут игнорироваться при проверке. Сюда же можно включить локальные интерфейсы, в том числе и lo.

KILL_ROUTE, сюда мы можем поместить команду для блокирования машины атакующего. Например: iptables -I INPUT -s $TARGET$ -j DROP, где $TARGET$ указывает адрес атакующего.

KILL_RUN_CMD, здесь помещается команда для выполнения перед блокированием доступа к машине атакующего.

SCAN_TRIGGER, определяет количество попыток перед оповещением о тревоге.

PORT_BANNER, отображает сообщение на открытых портах при соединении.

После конфигурирования программу надо запустить в одном из трех режимов с помощью опций: для TCP опция -tcp (классический режим), -stcp (стелс) и -atcp (продвинутый); для UDP соответствующие опции -udp, -sudp, audp.

Проверка целостности

TripWire позволяет проверить целостность файловой системы. Домашняя страница программы http://www.tripwire.org. Она свободно доступна для Linux и платная для Windows NT, Solaris, AIX и HP-UX.

В Debian программа может быть установлена командой:

apt-get install tripwire

Для хранения информации необходимы два ключа: первый, «site key», используется для шифрования политик и конфигурационного файла, второй — «local key» для шифрования информации, отображающей статус проверяемых файлов.

Начальная конфигурация сделана в файле /etc/tripwrie/twpol.txt, после того как вы ее приспособите для своих нужд, примените ее используя

twadmin -m P /etc/tripwire/twpol.txt

Для создания начальной базы данных, содержащей текущее состояние файлов, выполните

Для проверки целостности файловой системы используйте инструкцию:

Конфигурационные файлы могут быть удалены, чтобы взломщик не мог узнать, какие файлы были изменены.

rm /etc/tripwire/twcfg.txt /etc/tripwire/twpol.txt

При необходимости их можно создать

twadmin -m p > /etc/tripwire/twpol1.txt twadmin -m f > /etc/tripwire/twcfg.txt

Анализ логов

LogCheck — это часть LogSentry, которая позволяет эффективно анализировать логи, она производит классификацию и генерирует отчеты об активности и ошибках, на которые надо обратить внимание. Программа разбивает логи на 4 класса: подлежащие игнорированию, необычная активность, нарушение безопасности, атака.

Домашняя страница программы http://www.psionic.com/products/logsentry.html. Она доступна для Solaris, BSD, HP-UX и Linux.

В Debian она может быть установлена командой:

apt-get install logcheck

Команда устанавливает программу logtail в /usr/local/bin, которая предназначена для сохранения проанализированных логов. Также устанавливаются файлы:

Logcheck.sh,
Скрипт, содержащий основную конфигурацию.

Logcheck.hacking,
Содержит правила, определяющие уровни работы.

Logcheck.ignore,
Содержит выражения, которые должны быть проигнорированы.

Logcheck.violations,
Содержит выражения, которые могут быть рассмотрены как нарушения безопасности.

Logcheck.violations.ignore,
Выражения из этого файла будут проигнорированы.

Вы можете воспользоваться cron для запуска logcheck каждый час: 0 * * * * /bin/sh /usr/local/etc/logcheck.sh

Сетевые утилиты

Мы используем Snort для обнаружения попыток сетевых атак. Домашняя страница программы http://www.snort.org. Программа доступна для BSD, Solaris, AIX, Irix, Windows, MacOS X и Linux.
В Debian она может быть установлена командой:

apt-get install snort

Программа работает в трех различных режимах: снифер, регистратор пакетов и детектор вторжений.

Могут быть использованы следующие параметры:

-l каталог
указывает каталог для хранения файлов.

-h IP
определяет IP адрес, который мы хотим контролировать.

-b
захватывает каждый пакет в двоичном виде.

-r файл
обрабатывает двоичный файл.

Snort в режимах снифера и регистратора пакетов

В режиме снифера программа считывает каждый пакет, проходящий по сети, и отображает его на консоли, а в режиме регистратора пакетов она сохраняет данные в файл в каталоге.

Показывает IP и заголовки.

Также показывает передающиеся данные.

То же, но подробнее.

Режим детектора вторжений Snort

В этом режиме snort сообщает нам о сканировании портов, DoS (Deny of Service — отказ в обслуживании) атаках, эксплоитах и т.д. При работе он основывается на правилах, содержащихся в /usr/local/share/snort, которые вы можете скачать с сайта, сервер обновляет их почти каждый час.

Конфигурация программы очень проста — она состоит из редактирования файла snort.conf, где мы указываем свои сетевые настройки и рабочие директории. Просто смените IP:

var HOME_NET IP

Для запуска snort введите:

snort -c snort.conf

Лог-файлы содержатся в /var/log/snort, где мы можем увидеть IP адреса атакующих. Конечно, это очень краткий обзор возможностей snort, и я рекомендую больше прочитать о программе. Большинство организаций, журналов, групп, занимающихся безопасностью, считают эту прекрасную утилиту лучшей системой обнаружения вторжений для любых Unix и Windows платформ и рекомендуют использовать ее. Существует коммерческая поддержка от таких компаний как Silicon Defense и Source Fire, начинают появляться графические интерфейсы для программы, для более привлекательного представления результатов.

Иногда возникают критические ситуации, которые требуют более глубокого анализа, так как возникают проблемы, которые не были приняты во внимание, и которые должны быть решены немедленно.

Такие проблемы обычно создают злонамеренные люди и взломщики, которым нужен доступ к нашим серверам для тех или иных целей: для кражи или замены данных, атаки других машин с наших или же установки снифера или руткита — набора утилит, позволяющих получить больше привилегий в любой системе.

Другие полезные утилиты

Обнаружение снифера

Снифер — утилита, которая переключает наш сетевой интерфейс в прослушивающий режим с целью просмотра всего сетевого трафика. Команда ifconfig дает нам полную информацию о сетевом интерфейсе:

eth0 Link encap:Ethernet HWaddr 00:50:BF:1C:41:59
inet addr:10.45.202.145 Bcast:255.255.255.255 Mask:255.255.128.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:7180 errors:0 dropped:0 overruns:0 frame:0
TX packets:4774 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:8122437 (7.7 MiB) TX bytes:294607 (287.7 KiB)
Interrupt:10 Base address:0xc000

Однако, если команда ifconfig была заменена, или снифер работает на другой машине в сети, вам следует проверить внешние соединения, например, не производится ли отсылка писем на «подозрительные» адреса, или же попробовать обнаружить логи снифера.

Существует утилита neped, разработанная группой испанских хакеров, которая может нам сообщить об интерфейсах в нашей сети, работающих в прослушивающем режиме. Эта утилита не является частью Debian, однако может быть скачана с ftp://apostols.org/AposTools/snapshots/neped/neped.c
Замечание: похоже сервер не будет работать несколько недель.

Выполнение программы дает результат наподобие следующего:

При посылке IP пакета с 191.168.0.1 на 192.168.0.2 нам необходимо знать MAC адрес машины. Чтобы узнать его, в сеть посылается широковещательный пакет, в котором запрашивается MAC адрес для указанного IP. Все машины получают этот запрос, однако отвечает только та, которая имеет данный адрес.

neped делает такие запросы для каждого адреса в сети, однако не посылает широковещательные запросы, а использует несуществующий IP адрес. На такие запросы ответит только та машина, у которой интерфейс находится в прослушивающем режиме, так как только она сможет увидеть пакеты.

Я узнал об этой программе из статьи об обнаружении шпионов, которую нашел в сети. Там приводился простой пример. Если вы знаете URL статьи, не стесняйтесь, присылайте его мне по почте, потому что я его потерял 🙂

Обнаружение руткитов

Руткиты дают возможность пользователю получить больше привилегий, чем он может иметь. Обычно, они заменяют исполняемые системные файлы другими версиями, чтобы позже получить доступ к системе. Вот почему мы должны проверить не изменили ли наши файлы, используя chkrootkit. Программа может быть установлена так:

apt-get install chkrootkit

Сайт программы www.chkrootkit.org. Утилита проверяет следующие файлы:

aliens, asp, bindshell, lkm, rexedcs, sniffer, wted, z2, amd, basename, biff, chfn, chsh, cron, date, du, dirname, echo, egrep, env, find, fingerd, gpm, grep, hdparm, su, ifconfig, inetd, inetdconf, identd, killall, ldsopreload, login, ls, lsof, mail, mingetty, netstat, named, passwd, pidof, pop2, pop3, ps, pstree, rpcinfo, rlogind, rshd, slogin, sendmail, sshd, syslogd, tar, tcpd, top, telnetd, timed, traceroute, w, write

Чтобы запустить ее, введите:

Она проверит файлы, в поисках известных сниферов и руткитов. Есть и другие утилиты, предназначенные для проверки на подмену лог-файлов (chkwtmp и chklastlog), и конечно нельзя забыть про ifpromisc, которая сообщит нам, что сетевой интерфейс находится в прослушивающем режиме.

Ссылки

Рекомендуется прочитать man-страницы перечисленных программ. Также я приведу несколько ссылок, которые использовал. Не стесняйтесь, присылайте мне свои предложения и комментарии на мой адрес.

• Alexander Reelsen, Securing Debian How To, version 1.4, 18 February 2001
• Anónimo, Linux Máxima Seguridad, Pearson Educación, Madrid 2000
• Brian Hatch, Hackers in Linux, Mc Graw Hill 2001
• Jim Mellander, A Stealthy Sniffer Detector, Network Security
• Antonio Villalón Huerta, Seguridad en Unix y redes, Open Publication License, octubre 2000
• CSI FBI Computer Crime and Security Survey, CSI Issues&Trends, Vol.7
• Who’s Sniffing Your Network?, www.linuxsecurity.com/articles/intrusion_detection_article-798.html
• Root-kits and integrity: November 2002 Linuxfocus article

Страница отзывов

У каждой заметки есть страница отзывов. На этой странице вы можете оставить свой комментарий или просмотреть комментарии других читателей :

talkback page

Webpages maintained by the LinuxFocus Editor team © José Salvador González Rivera, FDL LinuxFocus.org

Translation information: es —> — : José Salvador González Rivera es —> en: Georges Tarbouriech en —> ru: Kolobynin Alexey

2003-01-03, generated by lfparser version 2.31

Источник