Okej, nu har du sett över ditt system och sett till att det är så säkert som möjligt och är redo att koppla upp det. Det finns några saker som du bör göra nu för att vara förberedd ifall du verkligen blir attackerad, så att du snabbt kan stoppa inkräktaren och få igång systemet igen.
Diskussion om metoder för säkerhetskopiering ligger utanför räckvidden av detta dokument, men några ord som relaterar till säkerhetskopiering och säkerhet:
Om du har mindre än 650Mb data som skall lagras, så är det bra med en kopia på CD-R (eftersom det är svårt att mixtra med senare, och om det lagras bra så håller det länge). Band och andra media som kan skrivas över bör skrivskyddas så snart säkerhetskopieringen är färdig och verifierad för att förindra att någon mixtrar med den. Se till att förvara alla dina säkerhetskopior i ett säkert utrymme som inte är uppkopplat. Med en bra säkerhetskopia försäkrar du dig om att du har ett bra tillstånd att återskapa ditt system ifrån.
En cykel med sex band är lätt att underhålla. Detta innebär fyra band under veckan, ett band på jämna fredagar och ett band på udda fredagar. Gör en kopia på förändrad data varje dag (incremental backup) och en fullständig kopia varje fredag. Om du gör någon särskilt viktig ändring eller lägger till viktig data till ditt system så kan en säkerhetskopia vara bra att göra.
I händelse av en attack så kan du använda din RPM-databas som du skulle använda tripwire, men bara om du kan vara säker på att den inte har blivit ändrad. Du bör kopiera RPM-databasen till en diskett och hålla den på ett säkert ställe hela tiden. Debian har säkerligen någonting liknande.
Speciellt, filerna /var/lib/rpm/fileindex.rpm och /var/lib/rpm/packages.rpm får antagligen inte plats på en enda diskett. Men komprimerade får de säkert plats på varsin diskett.
Om ditt system har blivit attackerat kan du använda kommandot:
root# rpm -Va
för att verifiera alla filer på ditt system. Titta på manualbladet för RPM, eftersom det finns några andra parametrar som du kan använda för att få mindre utskrifter.
Detta innebär att varje gång en ny RPM läggs till i systemet så måste RPM-databasen arkiveras om. Du måste väga fördelarna mot nackdelarna.
Det är väldigt viktigt att ingen har mixtrat med informationen som kommer ifrån syslog. Att göra filerna i /var/log läs- och skrivbara av endast ett begränsat antal användare är en bra början.
Håll ett öga på vad som skrivs där, särskilt under 'auth'. Ett flertal misslyckade inloggningsförsök, till exempel, kan tyda på ett försök till en attack.
Var du skall leta efter dina loggfiler beror på vilken distribution du har. I en distribution som följer "Linux Filsystemstandard", som tex RedHat, så hittar du dem i /var/log.
Du kan lista ut var ditt system har loggfilerna genom att titta i filen /etc/syslog.conf. I denna filen specificeras var syslog skall logga de olika meddelandena.
Du kan också konfigurera ditt skript eller din daemon för loggrotation så att loggarna finns kvar tillräckligt länge för att du skall hinna läsa dem. Titta på paketet "logrotate" i nyare RedHat-distributioner. Andra distributioner har antagligen liknande paket.
Om någon har mixtrat med dina loggfiler så försök att lista ut när mixtrandet började, och vilka saker som de verkade mixtra med. Finns det långa tidsperioder som inte har loggats? Att kolla efter korrekta systemloggar på band med säkerhetskopior är en bra ide.
Loggfiler ändras typiskt av inkräktare som vill sopa igen sina spår, men de bör ändå sökas igenom efter konstiga händelser. Du kan till exempel upptäcka en inkräktare som försöker få tillgång till systemet, eller upptäcka ett program som försöker komma över root-användaren. Du kanske hinner se loggfilerna innan inkräktaren hinner ändra i dem.
Du bör även se till att skilja 'auth'-faciliteten från annan loggdata, inklusive försök att använda `su', inloggningsförsök och annan data om användare.
Om möjligt så bör du konfigurera syslog att skicka en kopia av den viktigaste datan till ett säkert system. Detta hindrar en inkräktare från att sopa igen sina spår genom att radera sina login/su/ftp/osv försök. Se manualbladet för syslog.conf och titta på avsnittet om parametern '@'.
Till sist, loggfiler är till liten nytta om ingen läser dem. Ta dig tid lite då och då för att titta igenom dina loggfiler, och skaffa dig en känsla av hur de ser ut en normal dag. Att veta detta kan hjälpa dig att upptäcka ovanliga saker.
De flesta Linuxanvändare installerar från en CDROM. På grund av den av naturen snabba takten på säkerhetsfixar så finns det alltid nya (fixade) program att tillgå. Innan du ansluter din maskin till nätverket så är det en bra ide att kolla på webbsajten för din distribution (till exempel ftp.redhat.com) och skaffa alla uppdaterade paket sedan du fick din CDROM. Dessa paket innehåller ofta viktiga säkerhetsfixar så det är en bra ide att installera dem.