Vì hệ thống của bạn đã bị xâm phạm, không có thông tin nào bạn nhận được từ hệ thống đó có thể được tin cậy. Chỉ các bản ghi được chuyển ngay lập tức đến một hệ thống bên ngoài mới có thể được tin cậy (chẳng hạn như nhật ký hệ thống từ xa theo thời gian thực). Có nghĩa là nếu bạn đã có một số vòng quay nhật ký hàng đêm cho một chia sẻ NFS, bạn không thể tin tưởng vào nó.
Tuy nhiên, có thể người dùng không bận tâm đến các bản nhạc của mình và bạn có thể có thông tin vẫn có sẵn trên hệ thống.
Thật không may khi cài đặt Centos / RHEL mặc định, có ghi nhật ký rất tối thiểu. Về cơ bản, bạn bị hạn chế chọc vào /var/log. Nhật ký nào bạn nên khai thác tùy thuộc vào dịch vụ nào đang chạy trên hộp đó. Tuy nhiên tôi sẽ bắt đầu với nhật ký ssh. Sau đó, xem nhật ký của bất kỳ dịch vụ nào chạy bằng root hoặc có sudoquyền truy cập.
Nếu bạn may mắn, test11người dùng đó có thể có một thư mục chính, với một .bash_historytệp chứa lịch sử của những gì đã được thực hiện.
Ngoài ra, vì hệ thống đã bị xâm phạm đến mức người dùng không xác định có thể truy cập root, hệ thống phải được xây dựng lại từ đầu. Bạn không thể sử dụng lại bất cứ thứ gì từ hệ thống. Xem xét tất cả các tập tin duy nhất là thỏa hiệp. Tôi cũng khuyên bạn không nên sử dụng các bản sao lưu vì bạn không biết hệ thống đã bị xâm nhập bao lâu.
Khi người dùng có quyền truy cập root, sẽ có một số lượng backtime không giới hạn có thể được cài đặt. Nếu tôi là người đã giành được quyền truy cập vào hệ thống của bạn, chỉ cần xóa test11người dùng đó và thay đổi rootmật khẩu thậm chí sẽ không làm tôi chậm lại.
Trong tương lai, có một vài điều bạn có thể làm.
Đăng nhập từ xa
Như đã đề cập, chỉ có thể ghi nhật ký từ xa theo thời gian thực để không bị giả mạo. Hãy chắc chắn rằng bạn có điều này.
Kiểm toán
Có 2 tiện ích bạn nên cài đặt và sử dụng để giám sát và kiểm toán các thành phần quan trọng của hệ thống. Đây là audd và ossec .
Hai tiện ích này hoạt động khác nhau, nhưng là cho cùng một mục tiêu, để theo dõi các hoạt động bất thường.
Đăng nhập thiết bị đầu cuối
Có một công cụ kiểm toán khác được gọi là pam_tty_audithoạt động cùng với auditdtiện ích được đề cập trước đó . pam_tty_auditlà một tiện ích bạn thêm vào ngăn xếp pam của mình để ghi lại tất cả đầu vào và đầu ra trên TTY. Có nghĩa là nếu người dùng đang truy cập vào hộp thông qua ssh tương tác, hoạt động của họ sẽ được ghi lại.
Tuy nhiên, lưu ý rằng điều quan trọng nhất là bản ghi này phải được bảo vệ bằng mọi giá. Điều này chủ yếu là do mật khẩu. Khi bạn nhập mật khẩu của bạn tại một dấu nhắc, mặc dù bạn không thấy mật khẩu được nhập, pam_tty_auditmô-đun sẽ nhìn thấy nó và đăng nhập nó. Cũng có thể bạn sẽcatra (hoặc nếu không xem) các tập tin có chứa thông tin nhạy cảm, cũng sẽ được ghi lại. Do đó, nhật ký này phải được chuyển ngay lập tức khỏi hệ thống cục bộ để những kẻ xâm nhập không thể lấy được hoặc phải được mã hóa (và khóa giải mã không được có trên hệ thống cục bộ). Tốt nhất là cả hai nên được thực hiện, gửi đi từ xa và mã hóa nó.