File da monitorare in linux

Naviga le tue risposte
1

Tutti, Ho cercato su google per diverse guide su quali file monitorare che le persone avrebbero modificato per scopi malevoli. Nelle mie letture finora, ho trovato le persone comuni che modificano le file. finora ho trovato:

  1. / etc / hosts
  2. ufw file di configurazione
  3. file di configurazione iptables
  4. / bin / login

quali altri file monitorate attivamente e perché?

Grazie in anticipo! -tsnm

    
posta toosweetnitemare 10.06.2013 - 19:33
fonte

1 risposta

4

La soluzione migliore è installare un HIPS (Host Intrusion Prevention Application) come Samhain o < a href="http://en.wikipedia.org/wiki/Advanced_Intrusion_Detection_Environment"> AIDE . Ci sono troppi file da monitorare e un utente malintenzionato può (e di solito lo farà) provare a modificare tutto ciò che può. Per non parlare di molte persone che giocano / armeggiano con virus, exploit e dimostrazioni di concetti di Linux / BSD / OSX

MODIFICATO PER UNA SPIEGAZIONE SU QUALE MONITOR E PERCHÉ

Ogni sistema differisce, si possono seguire linee guida, linee di base, ma alla fine della giornata, l'importanza di cosa monitorare a discrezione dell'amministratore di sistema, del custode dei dati e di una serie di altre persone, o semplicemente una persona. Su qualsiasi sistema in cui sono stato un amministratore, è mia funzione mantenere questo sistema. Preferisco sapere il più possibile sull'intero sistema.

Quando installo Prevenzione intrusioni basata su host, scelgo di monitorare tutto eccetto i file di registro. I file di log cambiano, quindi genererebbero molti falsi positivi. Come attaccante / pentito, sono consapevole che molti professionisti che hanno seguito le migliori pratiche e linee guida, tendono a concentrarsi su ciò che percepiscono (in base al rischio) come importante. Questo di solito (e soprattutto SOLO) include le directory in cui sono installati i binari. Sotto Linux / BSD / Solaris: 

/bin/
/sbin/
/usr/sbin/
/usr/bin/
/usr/local/bin/
/usr/local/sbin/
/opt/bin/
/opt/sbin/
/etc/

Questi non sono gli unici posti in cui archiviare i file, per nascondere i programmi, ecc. Ad esempio, sapendo che questi sono i " soliti sospetti " monitorati, non ho tempo in cui un utente malintenzionato spinge qualcosa in / usr / lib, / usr / share, / tmp e così via. Questi file non verranno rilevati perché nessuna applicazione sta guardando ciò che sta accadendo.

Il tempo e lo spazio per monitorare questi file / directory sono minimi. Preferirei essere al sicuro che dispiaciuto. Potrebbero esserci inizialmente dei falsi positivi, ma è qui che puoi capire quali sono gli avvisi legittimi e quali no, costruendo da lì.

    
risposta data 10.06.2013 - 21:41
fonte

Leggi altre domande sui tag

Alla ricerca di una tassonomia degli attacchi web Come dovrei diagnosticare un laptop Macintosh con OS X Lion 10.7.5 che si avvia automaticamente alle 12:00:09 ogni notte?