Мониторинг системы безопасности FreeBSD

Итак, вы считаете, что сервер в безопасности. Может быть.

К сожалению, существуют взломщики, которые не находят лучшего занятия, кроме как держать себя в курсе последних «прорех» в защите. Опираясь на эти знания, они пытаются проникнуть в систему, которая, по их мнению, уязвима. Даже если вы добросовестно читаете сообщения рассылки FreeBSD-security и накладываете все появляющиеся «заплатки», однажды защита системы может быть взломана. Хотя сказать точно, что система взломана, не удастся, следующие приемы помогут узнать о таких попытках:

•      Стремитесь понимать работу своих серверов. Регулярно запускайте на них ps -ахх. Изучите, какие процессы обычно бывают запущены. Если тот или иной процесс не распознается, его надо исследовать.

•      Обращайте внимание на открытые сетевые порты с помощью net- stat -па и sockstat. Какие порты TCP и UDP должен «прослушивать» сервер? Если порт не распознается, исследуйте его. Наверное, это что-то безобидное, но это может быть и черным ходом злоумышленника.

•      Необъяснимые неполадки в системе также являются подсказкой. Многие злоумышленники неуклюжи, и у них мало навыков системного администратора. Они затевают бессмысленные атаки и считают себя «крутыми».

•      По-настоящему квалифицированные взломщики не только заметают следы, но и стараются не причинить вреда системе, чтобы не насторожить администратора. Поэтому необычайно высокая стабильность системы также должна настораживать.

•      Перезагрузки, происходящие без видимой причины, могут быть сигналом установки нового ядра. Также они могут свидетельствовать о неполадках в аппаратном обеспечении и неверной конфигурации, поэтому в любом случае такие факты необходимо исследовать.

•      FreeBSD отсылает вам каждый день электронные письма с информацией о состоянии системы. Читайте их. Храните их. Если что-то покажется подозрительным – исследуйте.

Существует два инструмента защиты, которые я особенно рекомендую для понимания работы системы. Первый инструмент – это /usr/ports/ sysutils/Isof, который перечисляет все файлы, открытые на компьютере. Чтение вывода lsof(8) – это обучение само по себе; возможно, вы и не догадывались, что на сервере запущено столько лишнего. Странные открытые файлы свидетельствуют либо о недостаточном понимании системы, либо о чьих-то нежелательных действиях.

Второй инструмент – /usr/ports/security/nessus. Это автоматизированный сканер слабых мест в системе защиты. Аудит безопасности с помощью nessus(8) – это замечательный способ узнать, что может увидеть взломщик в вашей системе.

Источник: ЛукасМ. FreeBSD. Подробное руководство, 2-е издание. – Пер. с англ. – СПб.: Символ- Плюс, 2009. – 864 е., ил.