• Файл базы данных может храниться на сменном носителе, защищенном от записи, например на дискете или компакт-диске. Если вы собираетесь выполнять проверку, периодически запуская Tripwire с помощью cron, носитель может быть постоянно смонтирован (такой подход создает неудобства при работе с системой). Если вы предполагаете запускать Tripwire вручную, носитель можно монтировать непосредственно перед проверкой.
• Для сохранения файла базы данных можно создать отдельный небольшой раздел и монтировать его только для чтения. При этом целесообразно предпринять дополнительные меры по обеспечению сохранности базы данных. Например, вы можете отформатировать раздел по соглашениям операционной системы, отличной от Linux. Это затруднит действия взломщика по поиску пароля, но не гарантирует целостность файла. Опытный хакер способен преодолеть подобные преграды.
• Вы можете записать на резервный носитель копию файла базы данных и перед началом проверки сравнить файлы. Если файл базы данных будет отличаться от резервной копии, это само по себе уже свидетельствует о факте вмешательства в работу системы.
• Tripwire поддерживает кодирование данных, поэтому файл базы данных можно сохранить в зашифрованном виде. Чтобы изменить содержимое файла базы данных, взломщик должен знать пароль, использовавшийся при кодировании.
Предприняв необходимые меры для сохранения файла базы данных, вы сможете контролировать целостность файлов на вашем компьютере. Необходимо лишь помнить, что база данных Tripwire должна создаваться непосредственно после установки Linux. Если от момента инсталляции системы до момента создания базы данных пройдет хотя бы один-два дня, то вполне возможно, что за это время система подвергнется атаке и в базу данных будут записаны сведения об измененных файлах.
Способы, позволяющие выявить вторжение в систему
Помимо применения специализированных инструментов, таких как Tripwire, обнаружить факт вторжения можно путем анализа различных признаков. Некоторые из этих признаков перечислены ниже.
• Записи в файлах протоколов. Файлы протоколов, располагающиеся в каталоге /var/log, содержат информацию о работе серверов. Как было сказано ранее, для обработки файлов вручную требуется слишком много времени, и не каждый администратор может позволить себе заняться этим. Однако с помощью специализированных инструментов, например SWATCH, вы можете выявить факты, свидетельствующие о взломе. Например, если вы обнаружите, что пользователь, находящийся в отпуске в другой стране, на днях зарегистрировался на сервере, это означает, что его учетной записью воспользовался кто-то другой.
• Некорректная работа сервера. Если сервер без видимых причин начинает работать некорректно, это может быть признаком вторжения, так как взломщики, пытаясь изменить конфигурацию сервера, часто портят конфигурационные файлы. Очевидно, что неправильная работа сервера может быть вызвана целым рядом других причин, но версию вторжения извне также нельзя сразу отбрасывать.
• Жалобы пользователей. Для регистрации в системе взломщики часто используют учетные записи других пользователей. Настраивая окружение пользователя в соответствии со своими потребностями, они нередко портят конфигурационные файлы, отвечающие за формирование среды. Поэтому жалобы пользователей на то, что система внезапно начала отвергать пароль или что параметры оболочки по непонятным причинам изменились, нельзя оставлять без внимания.
• Появление 'странных' файлов. Если вы обнаружили, что в системе появился файл, который вы не создавали и который не мог создать никто из пользователей, это может быть программа, используемая для проникновения в систему. Чтобы скрыть свои действия по взлому, злоумышленники часто удаляют конфигурационные файлы, поэтому отсутствие такого файла также является тревожным симптомом.
• Неожиданное увеличение сетевого трафика. Если трафик неожиданно увеличился, возможно, что причиной этого является деятельность злоумышленника, связанная со взломом системы. Не исключено, конечно, что трафик увеличился в результате роста популярности вашего узла. (Причиной внезапного роста популярности может быть появление ссылки на ваш узел на одном из часто посещаемых узлов.) Убедившись в увеличении трафика, вам следует проверить характер соединений, устанавливаемых с этого компьютера. Например, если с компьютера, на котором выполняется только Web- сервер, устанавливаются Telnet-соединения с другими машинами вашей сети, это свидетельствует о том, что компьютер используется взломщиками для дальнейшего проникновения в вашу сеть.
Существуют также другие признаки вторжения в систему. Дело в том, что большинство атак предпринимается не опытными хакерами, а малограмотными взломщиками, которые пользуются чужими сценариями. Такие сценарии неминуемо оставляют на компьютере следы своей работы. К сожалению, каждый сценарий, написанный с целью взлома системы, проявляет себя по-своему, поэтому составить перечень признаков, по которым можно было бы выявить вторжение в систему, крайне сложно. Материалы на эту тему публикуются на многих Web-узлах, посвященных вопросам защиты.
Встретившись с необычным поведением программ, не следует пытаться объяснить все подобные случаи действиями злоумышленников. Причинами этого могут быть сбои в работе аппаратуры, некорректное содержимое конфигурационных файлов, ошибки в программах и т.д.
Действия при обнаружении факта взлома системы
При выявлении факта вторжения в систему рекомендуется выполнить следующие действия.
• Отключить компьютер от сети. Компьютер, который подвергся атаке, может представлять собой угрозу для других узлов. Если на этом компьютере содержатся важные данные, то чем дольше он будет работать в сети, тем больше вероятность что эти данные попадут в руки злоумышленника.
• Выяснить причины, в результате которых взломщик смог получить доступ к системе. Необходимо убедиться, что попытка взлома имела место и была успешной. Как было замечено ранее, многие проблемы, связанные с недостатками в аппаратных и программных средствах, могут быть ошибочно приняты за взлом системы. Следует также попытаться выяснить путь, по какому взломщик смог проникнуть в вашу систему. Если вы устраните последствия взлома, но не выявите причины, которые сделали это возможным, злоумышленник сможет снова воспользоваться теми же средствами. К сожалению, установить конкретные недостатки в защите системы чрезвычайно сложно, поэтому в большинстве случаев незаконного проникновения извне системные администраторы ограничиваются обновлением версии системы и принимают меры общего характера, направленные на повышение уровня защиты.
• Создать резервные копии важных данных. Если резервные копии данных создавались слишком давно, вам следует скопировать важную информацию на резервный носитель. Имеет также смысл создать копию всей системы, подвергшейся атаке. Копия может пригодиться вам впоследствии для анализа особенностей проникновения в систему.
• Устранить последствия атаки. К сожалению, действия по устранению последствий взлома не ограничиваются восстановлением файлов, которые были изменены злоумышленником. Вы можете пропустить какой-либо из файлов и предоставить тем самым возможность взломщику повторить атаку. Вам необходимо полностью очистить жесткий диск или, по крайней мере, те разделы, в которых содержались компоненты системы Linux. При необходимости раздел /home можно оставить нетронутым. Затем следует повторно инсталлировать систему с нуля либо восстановить ее с резервной копии, которая была создана до атаки. На этом этапе на следует
