其他管理员如何监控他们的服务器以检测任何未经授权的访问和/或黑客攻击?在大型组织中,派人来解决问题更容易,但在小型组织中,如何有效地监控服务器?
我倾向于浏览服务器日志以寻找任何引起我注意的东西,但很容易错过一些东西。有一次,我们被硬盘空间不足所警告:我们的服务器被用作 FTP 站点 - 他们通过弄乱 FAT 表很好地隐藏了文件。除非您知道文件夹的具体名称,否则它不会显示在资源管理器、DOS 或搜索文件时。
人们还使用哪些其他技术和/或工具?
答案1
这在一定程度上取决于您运行的系统类型。我将概述一些针对 Linux 的建议,因为我对它更熟悉。其中大多数也适用于 Windows,但我不知道这些工具...
使用 IDS
SNORT® 是一种开源网络入侵预防和检测系统,采用规则驱动语言,结合了基于签名、协议和异常的检查方法的优点。迄今为止,Snort 的下载量已达数百万次,是全球部署最广泛的入侵检测和预防技术,已成为业界事实上的标准。
Snort 读取网络流量,并可以查找“驱动渗透测试”之类的内容,即有人对您的服务器运行整个 metasploit 扫描。在我看来,了解这些事情是件好事。
使用日志...
根据您的使用情况,您可以进行设置,以便您知道何时用户登录,或从奇怪的 IP 登录,或何时 root 登录,或何时有人尝试登录。我实际上让服务器给我发电子邮件每一个日志消息高于调试。是的,甚至是通知。我当然会过滤掉其中一些,但每天早上当我收到 10 封有关东西的电子邮件时,我就想修复它,这样它就不会再发生了。
监控您的配置 - 我实际上将我的整个 /etc 保存在 subversion 中,以便我可以跟踪修订。
运行扫描。类似以下工具莱尼斯和Rootkit 猎手可以提醒您应用程序中可能存在的安全漏洞。有些程序可以维护所有容器的哈希值或哈希树,并可以提醒您更改。
监控您的服务器 - 就像您提到的磁盘空间一样 - 如果出现异常,图表可以为您提供提示。我使用仙人掌密切关注 CPU、网络流量、磁盘空间、温度等。如果出现问题看起来奇怪的是是很奇怪,你应该找出为什么奇怪。
答案2
实现一切自动化……看看 OSSEC 之类的项目http://www.ossec.net/客户端/服务器安装...设置非常简单,调整也不错。轻松判断某些内容是否已更改,包括注册表项。即使在小商店,我也会考虑设置 syslog 服务器,以便您可以在一个地方汇总所有日志。查看 syslog 代理http://syslogserver.com/syslogagent.html如果您只想将 Windows 日志发送到 syslog 服务器进行分析。
答案3
在 Linux 上,我使用日志检查定期报告日志文件中的可疑条目。这对于检测与安全无关的意外事件也非常有用。