其他管理员如何监控他们的服务器以检测任何未经授权的访问和/或黑客攻击?在较大的组织中,更容易让人们解决问题,但在较小的商店中,您如何有效地监控您的服务器?
我倾向于扫描服务器日志,寻找任何突然出现在我身上的东西,但很容易错过一些东西。在一个案例中,我们被告知硬盘空间不足:我们的服务器被接管为 FTP 站点——他们通过弄乱 FAT 表来隐藏文件做得很好。除非您知道文件夹的具体名称,否则它不会出现在资源管理器、DOS 或搜索文件时。
人们还在使用哪些其他技术和/或工具?
AskOverflow.Dev
这部分取决于您运行的系统类型。我将概述一些关于 Linux 的建议,因为我更熟悉它。它们中的大多数也适用于 Windows,但我不知道这些工具......
使用 IDS
Snort 读取网络流量并可以查找诸如“通过笔测试驱动”之类的东西,其中有人只是对您的服务器运行整个 metasploit 扫描。在我看来,很高兴知道这些事情。
使用日志...
根据您的使用情况,您可以对其进行设置,以便您知道用户何时登录,或从一个奇怪的 IP 登录,或何时 root 登录,或何时有人尝试登录。实际上,我让服务器通过电子邮件将每条高于 Debug 的日志消息发送给我。是的,甚至通知。我当然会过滤其中的一些,但每天早上当我收到 10 封关于某些事情的电子邮件时,我就想修复它,这样它就不会再发生了。
监控你的配置——我实际上将我的整个 /etc 保存在 subversion 中,这样我就可以跟踪修订。
运行扫描。Lynis和Rootkit Hunter等工具可以提醒您应用程序中可能存在的安全漏洞。有些程序可以维护所有垃圾箱的哈希或哈希树,并可以提醒您更改。
监控你的服务器——就像你提到的磁盘空间——如果有什么不寻常的地方,图表可以给你一个提示。我使用Cacti来监视 CPU、网络流量、磁盘空间、温度等。如果某些东西看起来很奇怪,那就是奇怪的,你应该找出奇怪的原因。
自动化你可以做的一切......看看像 OSSEC http://www.ossec.net/ Client/server install 这样的项目......非常容易设置,调整也不错。判断某些内容是否已更改的简单方法,包括注册表项。即使在一家小商店里,我也会考虑设置一个系统日志服务器,这样你就可以在一个地方消化所有的日志。如果您只想将 Windows 日志发送到 syslog 服务器进行分析,请查看 syslog 代理http://syslogserver.com/syslogagent.html 。
在 Linux 上,我使用logcheck定期报告日志文件中的可疑条目。它对于检测与安全无关的意外事件也非常有用。