Итак, вы всесторонне проверили вашу систему и сделали ее настолько безопасной насколько это было возможно (исходя из ваших знаний :), а значит готовы к соединению с Интернет. Существует несколько вещей, которые вы теперь должны сделать, чтобы быть подготовленным на случай взлома, и, следовательно, быстро обезвредить взломщика, восстановиться и работать дальше.
Обсуждение методов резервирования и хранения вне целей этого документа, но буквально несколько слов о резервировании и безопасности:
Если у вас меньше чем 650Мb данных в одном разделе, то для резервирования можно порекомендовать CD-R (поскольку его очень трудно подделать, и данные долго сохраняются). На лентах и других перезаписываемых носителях сразу после создания резервных копий необходимо поставить защиту от записи и затем периодически проверять, чтобы предотвратить подделки (или подмену). Сохраняйте ваши резервные копии в надежных недоступных местах. Хорошие резервные копии обеспечат вам возможность восстановления вашей системы в любой ситуации.
Простым для поддержания считается шести ступенчатый цикл. Он включает 4 текущие ленты на неделю, одна для четных пятниц, одна для нечетных пятниц. Делайте нарастающее резервирование каждый день и полное резервирование системы в пятницу на соответствующую ленту. Если вы сделали какие-либо особенные важные изменения в системе или добавили важные данные, то уместно будет сразу сделать резервную копию.
В случае вторжения вы можете использовать базу RPM как спасательную нить, но только в том случае, если вы уверены в ее целостности. Желательно скопировать базу RPM на дискету и держать ее где-либо в недоступном месте. В дистрибутиве Debian вероятно имеется что-то подобное.
Скорее всего файлы /var/lib/rpm/fileindex.rpm и /var/lib/rpm/packages.rpm не поместятся на отдельную дискету, а в сжатом виде каждый поместится на отдельную дискету.
Теперь если ваша система (не приведи Господи) будет взломана, вы можете использовать команду:
root# rpm -Va
Это значит, что каждый раз как вы добавляете новый RPM в систему, вам нужно обновить резервную копию. Вы ощутите все достоинства перед недостатками.
Очень важно, чтобы не подверглась взлому информация, которая поступает от syslog. Начать надо с того, что разрешить чтение и запись в /var/log только ограниченному контингенту пользователей.
Обязательно следите за тем, что туда заносится, особенно посредством `auth'. Большое количество неудачных регистраций, например, может указывать на попытку вторжения.
Где искать ваши log файлы, будет зависеть от вашего дистрибутива. В Linux системах, которые поддерживают "Linux Filesystem Standard", таких как Red Hat, смотрите в /var/log для проверки messages, mail.log и других протоколов.
Чтобы узнать где ваш дистрибутив ведет системные журналы, вам нужно посмотреть в файл /etc/syslog.conf. Это файл, который указывает syslogd (системному протоколирующему демону) куда записывать различные сообщения.
Вы можете также захотеть настроить ваш log-rotating скрипт или демон для того, чтобы ваши журнальные записи дольше просуществовали, т.е. чтобы вы имели время их более детально изучить. Рекомендуем вам обратить внимание на пакет 'logrotate', поставляемый в дистрибутиве Red Hat. Другие дистрибутивы вероятно имеют подобные вещи.
Если вы заметили, что в журнальных файлах кто-то возился, посмотрите сначала можете ли вы определить, когда это началось и каких вещей касалось. Большой ли период времени таким образом содержит ненадежную информацию? Лучше всего в такой ситуации восстановить журналы с резервных копий (если у вас конечно такие есть?)
Журнальные файлы обычно изменяют взломщики, для того чтобы скрыть свои действия, но их присутствие все же можно заметить по странным событиям в системе. Вы можете отследить попытки взломщика войти в систему или изменить какую-либо программу для получения счета администратора. Вы можете просмотреть журнальные файлы до того, как взломщик изменит их.
Вам необходимо отделить `auth' данные от других запротоколированных событий, включая попытки изменения счетов с помощью `su', попытки регистрации и другую информацию, касающуюся счетов пользователей.
Если возможно, настройте syslog так, чтобы от отсылал копию наиболее важных данных на безопасную систему. Это предотвратит попытки взломщика скрыть свою деятельность путем удаления информации о его login/su/ftp и др. Изучите man страницу по syslog.conf, особенно в части `@' опции.
И наконец, журнальные файлы намного менее полезны, если их никто не читает. Выделите постоянное время для просмотра журнальных файлов, тогда вы наверняка обретете чувство ситуации - нормально все или нет. Это может сильно помочь не допустить непредвиденной ситуации.
Большинство пользователей Linux инсталируются с CDROM. Из-за быстрой природы появления исправлений в безопасности, постоянно появляются новые (исправленные) программы. До того, как вы откроете свою систему в сети, сходите на ftp сервер вашего дистрибутива (например, ftp.redhat.com) и возьмите все пакеты, которые были обновлены с момента получения вами CDROM. В большинстве случаев новые пакеты будут содержать важные исправления в области безопасности, так что неплохо их будет инсталировать.