Ключевым элементом качественной системы обеспечения безопасности является наблюдение. Высокий уровень защищенности требует регулярного проведения сопутствующих мероприятий, и приведенные выше рекомендации - только начало.
Необходимо, помимо прочего, контролировать системы на предмет обнаружения несанкционированной активности, равно как и обнаружения и удаления уязвимостей. Система меняется с течением времени - активные учетные записи становятся пассивными, происходит смена прав доступа для файлов. Необходимо отслеживать и разрешать подобные проблемы по мере их возникновения.
Познайте свою систему
Контроль безопасности в сети - это изучение файлов и журналов отдельных систем сети. Чтобы обнаружить необычную активность, необходимо, прежде всего, знать, какая активность системы нормальна. Какие процессы обычно работают в системе? Какие пользователи? Кто обычно работает с системой после окончания рабочего дня? Следует знать все это и многое другое о системе, чтобы обрести «ощущение» того, как должны обстоять дела. Общеизвестные команды Unix ps и who помогают узнать, что для вашей системы является нормальной активностью.
Команда ps отображает состояние процессов, запущенных в данный момент. Периодическое выполнение ps позволяет получить четкую картину процессов, работающих в системе в различное время суток, а также информацию о том, кому принадлежат процессы. Команда Linux ps -au и команда Solaris ps -ef отображают для каждого процесса сведения о пользователе и команде, создавшей процесс. Этой информации вполне достаточно, чтобы понять, кто с чем работает и в какое время. Заметив нечто необычное, потрудитесь провести расследование. Убедитесь, что понимаете, каким образом используется ваша система.
Команда who перечисляет пользователей, работающих в системе в данный момент. Для каждого пользователя отображается имя, устройство терминала, время входа в систему и, если возможно, координаты удаленного узла, с которого инициирован сеанс работы. (Команда w, вариант who, доступный в некоторых системах, указывает также активный процесс для каждого из пользователей.) Команда who позволяет понять, кто обычно работает с системой, а также с каких внешних узлов пользователи проводят сеансы работы. Проводите расследования по любым отклонениям от нормы.
Если любая из этих стандартных проверок дает основания подозревать наличие проблем с безопасностью, изучите систему на предмет присутствия необычных или измененных файлов, файлов, которые должны существовать, но не существуют, а также на предмет необычной активности пользователей. Столь пристальное изучение системы может производиться и при помощи стандартных команд Unix. Команды и файлы, которые мы обсудим, присутствуют в полном составе не во всех системах, однако в каждой операционной системе есть определенные инструменты, помогающие внимательно следить за тем, как используется компьютер.
