其他pipe理员如何监控他们的服务器以检测未经授权的访问和/或黑客攻击? 在一个更大的组织中,更容易引起人们的注意,但是在一个更小的商店里,你如何有效地监控你的服务器?
我倾向于浏览服务器日志,寻找任何跳出我的东西,但是很容易错过。 在一个案例中,我们被低硬盘驱动器空间告诫:我们的服务器被接pipe为一个FTP站点 – 他们做了一个很好的工作,通过与FAT表混淆。 除非您知道文件夹的具体名称,否则它不会显示在资源pipe理器,DOS或search文件时。
人们正在使用哪些其他技术和/或工具?
这部分取决于你正在运行什么types的系统。 我将概述一些Linux的build议,因为我更熟悉它。 他们大多数适用于Windows,但我不知道这些工具…
使用IDS
SNORT®是一个使用规则驱动语言的开源networking入侵防御与检测系统,结合了签名,协议和基于exception的检测方法的优点。 迄今为止,已经有数百万次的下载,Snort是世界范围内应用最广泛的入侵检测和防御技术,已经成为业界的事实标准。
Snort可以读取networkingstream量,并可以查找诸如“通过笔testing驱动”之类的东西,而某些人只是对您的服务器运行整个metasploit扫描。 很高兴认识这些事情,在我看来。
使用日志…
根据您的使用情况,您可以对其进行设置,以便在用户login时login,或者从奇数IPlogin,或者每当root用户login时,或者在有人尝试login时都知道。 我实际上已经有服务器通过电子邮件向我发送比Debug更高的每条日志消息。 是的,甚至通知。 当然,我过滤了其中的一些,但是每天早上当我收到10封有关邮件的邮件时,我想要修复它,这样就不会再发生了。
监视你的configuration – 我实际上保留我的整个/ etc在颠覆,所以我可以跟踪修订。
运行扫描。 像Lynis和Rootkit Hunter这样的工具可以提醒您应用程序中可能存在的安全漏洞。 有一些程序可以维护所有垃圾箱的哈希树或哈希树,并可以提醒您进行更改。
监视你的服务器 – 就像你提到的磁盘空间 – 图表可以给你一个提示,如果有什么不寻常的。 我使用Cacti来监视CPU,networkingstream量,磁盘空间,温度等。如果看起来很奇怪,那很奇怪,你应该知道为什么它很奇怪。
自动化所有你可以…看看项目,如OSSEC http://www.ossec.net/客户端/服务器安装…真正简单的设置和调整也不错。 简单的方法来判断是否有更改,包括registry项。 即使在一个小店里,我也会考虑设置一个系统日志服务器,这样你就可以在一个地方消化你所有的日志。 如果您只想将Windows日志发送到系统日志服务器进行分析,请查看syslog代理http://syslogserver.com/syslogagent.html 。
在Linux上,我使用logcheck定期报告日志文件中的可疑条目。 这对于检测与安全无关的意外事件也非常有用。