Мисля, че не му трябва това:) А и не това е начинът.
По-скоро, струва ми се, че човекът пита за стандартната
политика на сигурност на системата и своевременното
рапортуване за инциденти, опити за изпълнение на
неоторизирани команди и т.н. На първо време обаче кажи коя
дистрибуция използваш.
Например в Дебиан има един пакет logcheck, който на всеки
кръгъл час по подразбиране изпраща до администратора мейл с
извадки от системните логове за определен тип събития и
инциденти, които могат да се окажат възможни опити за
разбиване на сигурността на системата. Благодарение на този
инструмент всеки проблем в системата (например не само
атаки, които все пак се случват много рядко и често пъти
можеш и да нямаш късмет да видиш такова нещо), да речем
проблеми с демоните, дадена услуга е спряла да работи,
счупило се е нещо и т.н., могат да бъдат забелязани и
отстранени най-късно до час. Нивата на парсване на логовете,
интервалите на рапортуването и други подробности могат да се
задават чрез редактиране на /etc/logcheck/logcheck.conf.
Но за да се премине към по-конкретни обсъждания, преди
всичко трябва да се започне от дистрибуцията. Сериозните
дистрибуции предлагат разни специфични екстри за следене на
системата. На първо място, разбира се, трябва да се научиш
да четеш логове, да опознаеш добре /var/log, какво има там и
кое е важно.
|