其他管理员如何监控他们的服务器以检测任何未经授权的访问和/或黑客攻击?在较大的组织中,更容易让人们解决问题,但在较小的商店中,您如何有效地监控服务器?
我倾向于浏览服务器日志,寻找任何跳出我的东西,但很容易遗漏一些东西。在一个案例中,我们发现硬盘空间不足:我们的服务器被接管为一个 FTP 站点——他们通过弄乱 FAT 表来隐藏文件做得很好。除非您知道文件夹的具体名称,否则它不会在资源管理器、DOS 或搜索文件时显示。
人们正在使用哪些其他技术和/或工具?
这部分取决于您运行的系统类型。我将概述一些对 Linux 的建议,因为我更熟悉它。它们中的大多数也适用于 Windows,但我不知道这些工具......
使用 IDS
SNORT® 是一个开源网络入侵防御和检测系统,它使用规则驱动的语言,结合了签名、协议和基于异常的检查方法的优点。迄今为止,Snort 的下载量达数百万次,是全球部署最广泛的入侵检测和防御技术,并已成为行业事实上的标准。
Snort 读取网络流量,并可以寻找诸如“渗透测试驱动”之类的东西,其中有人只是对您的服务器运行整个 metasploit 扫描。在我看来,很高兴知道这些事情。
使用日志...
根据您的使用情况,您可以对其进行设置,以便您知道每当用户登录或从奇数 IP 登录时,或 root 登录时,或有人尝试登录时。我实际上让服务器通过电子邮件向我发送高于调试的每条日志消息。是的,甚至通知。我当然会过滤其中的一些,但是每天早上当我收到 10 封关于某事的电子邮件时,我就会想要修复它,这样它就不会再发生了。
监控您的配置 - 我实际上将我的整个 /etc 保留在 subversion 中,以便我可以跟踪修订。
运行扫描。Lynis和Rootkit Hunter等工具可以提醒您应用程序中可能存在的安全漏洞。有些程序可以维护所有垃圾箱的哈希或哈希树,并可以提醒您发生变化。
监控您的服务器 - 就像您提到的磁盘空间 - 如果出现异常,图表可以给您提示。我使用Cacti来关注 CPU、网络流量、磁盘空间、温度等。如果有些东西看起来很奇怪,那它就是奇怪的,你应该找出它奇怪的原因。
小智 2
自动化你能做的一切...看看像 OSSEC http://www.ossec.net/客户端/服务器安装这样的项目...设置非常简单,而且调整也不错。判断某些内容是否已更改(包括注册表项)的简单方法。即使在一家小商店,我也会考虑设置一个系统日志服务器,以便您可以在一个地方消化所有日志。如果您只想将 Windows 日志发送到 syslog 服务器进行分析,请查看 syslog 代理http://syslogserver.com/syslogagent.html 。