Bene: avete controllato il sistema, è sicuro per quanto possibile e siete pronti a metterlo in rete. Ci sono alcune cose che dovreste fare ora per prepararvi ad un'intrusione, in modo da poter mettere fuori gioco velocemente l'aggressore e tornare alla piena funzionalità.
La discussione dei metodi di backup va oltre gli scopi di questo documento, ma vanno spese alcune parole su backup e sicurezza:
Se avete meno di 650mb di dati da salvare su una partizione, un CD-R è un'ottima strada (perché difficile da manomettere e molto durevole). Nastri e altri media riscrivibili dovrebbero essere protetti dalla scrittura non appena il backup è completo e quindi verificati per evitare la manomissione. Assicuratevi di lasciare i backup in un'area sicura e off-line. Un buon backup vi darà un buon punto di riferimento da cui ripristinare il sistema.
Un ciclo di sei nastri è facile da mantenere. Prevede quattro nastri per la settimana, uno per i Venerdì pari e uno per quelli dispari. Eseguite un backup incrementale ogni giorno, e un backup completo sul nastro del Venerdì. Potreste fare un backup completo anche per dei particolari cambiamenti importanti.
Nel caso di un'intrusione, potete usare il vostro database di pacchetti come
usereste tripwire, ma solo se siete sicuri che non è stato
modificato. Dovreste copiare il database RPM in un floppy e tenerlo sempre
off-line. Probabilmente la Debian ha qualcosa di simile.
I file /var/lib/rpm/fileindex.rpm e /var/lib/rpm/packages.rpm
probabilmente non entreranno in un solo floppy, ma se compressi dovrebbero
entrare in un floppy ciascuno.
Ora, se il vostro sistema viene compromesso potete usare il comando:
root# rpm -Va
rpm,
perché esistono alcune opzioni che possono essere usate per avere un
output più: conciso. Ricordate che dovete essere sicuri che anche
l'eseguibile di RPM non sia stato compromesso.
Questo significa che ogni volta che viene aggiunto al sistema un RPM, il database dovrà essere ri-archiviato. voi decidere i vantaggi contro gli svantaggi.
È molto importante che le informazioni che vengono da syslog
non siano modificate. Rendendo leggibili e scrivibili file in var/log
solo da poche persone è un buon inizio.
Assicuratevi di tenere d'occhio cosa viene scritto lì soprattutto in
auth. La presenza di molti login falliti, per esempio, indica una
tentata intrusione.
Dove cercare i log dipende dalla vostra distribuzione. In un sistema Linux
conforme al "Linux Filesystem Standard", come RedHat, cercherete in
/var/log e controllerete messages,
mail.log, ed altri.
Potete capire dove il sistema tiene i log leggendo il file /etc/syslog.conf.
Questo è il file che dice a syslogd (il demone dei log di sistema)
dove tenere i messaggi dei log.
Potreste anche voler configurare lo script o il demone che alterna i log per
fargli tenere a lungo i log per avere tutto il tempo di esaminarli. Date
un'occhiata al pacchetto logrotate su distribuzioni RedHat recenti.
Altre distribuzioni hanno probabilmente un processo simile.
Se i vostri log sono stati manomessi, cercate di capire quando è iniziata la manomissione e cosa sembra cambiato. Ci sono lunghi periodi di tempo che non hanno log? Controllare i nastri di backup in cerca di log intatti è un buon inizio.
Gli intrusori in genere modificano i log per coprire le loro tracce, ma dovrebbero comunque essere controllati. Potreste notare l'intrusore che cerca un accesso o sfrutta un programma per ottenere l'account di root. Potreste vedere voci nei log che l'intrusore non ha avuto il tempo di cambiare.
Dovreste anche assicurarvi di separare auth dagli altri log, inclusi
i tentativi di cambiare utente con su, i tentativi di login, e altre
informazioni sugli account.
Se possibile, configurate syslog per mandare una copia dei log ad un
sistema sicuro. Questo eviterà che un intrusore cancelli le sue tracce
insieme ai tentativi di login/su/ftp/ecc. Leggete la pagina man di syslog.conf
e cercate l'opzione @.
Ci sono diversi altri programmi syslogd più avanzati. Leggete
http://www.core-sdi.com/ssyslog/ a proposito di Secure Syslog.
Secure Syslog permette di crittare le voci del syslog per essere sicuri che
nessuno le manometta.
Un altro syslogd con altre caratteristiche è
syslog-ng. Vi permette molta flessibilità e critta i flussi
remoti di syslog per evitare la manomissione.
In fine, i log sono inutili se nessuno li controlla. Prendetevi del tempo ogni tanto per leggere i vostri log e farvi un'idea di come devono essere in normali condizioni. Saperlo fa risaltare molte cose strane.
Molti utenti Linux istallano da un CD-ROM. A causa della natura repentina degli aggiornamenti di sicurezza, vengono rilasciati continuamente nuovi programmi. Prima di connettere la vostra macchina alla rete è bene controllare sul sito ftp della vostra distribuzione e prendere tutti i pacchetti aggiornati da quando avete installato il CD-ROM. Spesso questi pacchetti contengono molte soluzioni di sicurezza, quindi è una buona idea installarli.