Table des matières
Les serveurs et les ordinateurs sont constamment exposés à des attaques de virus, de pirates ou de personnes cherchant à espionner des informations. Être piraté ou avoir des vulnérabilités est quelque chose que la plupart des utilisateurs d'ordinateurs et des administrateurs de serveurs et de réseaux craignent.La première chose que nous devons savoir est quels sont les fichiers qui créent des journaux des actions effectuées sur le système. Certains d'entre eux sont:
- Un journal important est utpm, qui conserve une trace des utilisateurs qui utilisent le système lorsqu'ils sont connectés au serveur. On peut le trouver dans l'annuaire :
/var/adm/utmp Oui /etc/utmp
- Un moyen rapide d'afficher vos journaux est à partir de la fenêtre du terminal avec la commande calme qui répertorie le contenu de utmp.
- Le journal wtmp Il est chargé d'enregistrer dans un journal chaque fois qu'un utilisateur entre dans le système ou en sort. Il se trouve dans les répertoires /var/adm/wtmp et /etc/wtmp. Il peut également être répertorié avec la commande :
qui / usr / adm / wtmpLa commande dernière communication montre les dernières commandes exécutées par n'importe qui sur le système. Cette commande n'est disponible que si vous avez des processus en cours d'exécution. Pour l'utiliser, nous devons installer un petit programme appelé compte qui se trouve dans les dépôts de tout Distribution Linux.
apt-get install acct
Afficher les fichiers modifiés il y a 10 minutes
trouver -mmin +10
Afficher les fichiers modifiés datant de plus d'un jour
trouver -mtime +1
Afficher les fichiers modifiés dans les 5 à 10 minutes
trouver -mmin +5 -mmin -10
Vérifiez toujours que les services qui sont exécutés au démarrage du serveur ou de l'ordinateur sont ceux que nous avons définis dans le fichier /etc/inetd.conf
Nous pouvons également utiliser un identifiant ou un système de détection d'intrusion, c'est un outil de sécurité qui essaie de détecter ou de surveiller les événements qui se produisent dans un certain système informatique ou réseau informatique à la recherche de tentatives de compromettre la sécurité dudit système.
Un système de détection d'intrusion est, Renifler c'est un renifleur de paquets et un détecteur d'intrusion fonctionne à la fois pour Linux et Windows. Un autre outil est AIDE (Environnement avancé de détection d'intrusion) est un vérificateur d'intégrité de fichiers et de répertoires.
Renifler il peut être trouvé complet dans un autre tutoriel. Voyons comment installer Aide. C'est cette application qui permet de se faire une notion de l'état de l'intégrité des systèmes de fichiers sous Linux et aide à identifier quels fichiers ont été modifiés dans leur intégrité depuis leur installation.
sudo apt-get mise à jour sudo apt-get aide à l'installation
Il existe deux fichiers de configuration :
/etc/default/aide Le fichier de configuration général d'AIDE. /etc/aide/aide.conf Le fichier de configuration des règles AIDE.
sudo touch /var/lib/aide/aide.db
Ensuite, nous pouvons vérifier le système avec la commande suivante :
sudo aide -init
On peut aussi vérifier les fichiers modifiés avec la commande suivante :
sudo aide --check
