国产精品香蕉在线观看网,亚洲欧美精品综合在线观看,亚洲不卡av一区二区无码不卡,亚洲日本精品国产第一区二区

　　有時候文件系統(tǒng)完整性審核工具是確保系統(tǒng)沒有被的唯一辦法。當(dāng)，惡意軟件掃描工具，入侵檢測系統(tǒng)以及你自己小心的維護(hù)工作都沒有用的時候，除非你進(jìn)行常規(guī)的文件系統(tǒng)完整性審核，否則可能你自己都不知道系統(tǒng)被巧妙的入侵了。將其與日常備份結(jié)合起來，你就有了檢測和恢復(fù)大部分被入侵系統(tǒng)的能力了。

　　當(dāng)前有很多工具可以讓我們對系統(tǒng)進(jìn)行定期，并通過比對來審核系統(tǒng)文件的完整性。從理論上講，我們所需要做的包括：

　　對沒有被各種惡意軟件以及rootkit入侵的系統(tǒng)進(jìn)行快照。

　　安全的保存快照，防止其被篡改。

　　將其與之后的系統(tǒng)快照進(jìn)行對比，從而判斷系統(tǒng)文件是否被修改。

　　當(dāng)前很多工具都能實現(xiàn)上述功能，只是其易用性和效率不同而已。而這些工具也因其所針對的系統(tǒng)環(huán)境不同而被進(jìn)一步分類。當(dāng)選擇一款文件系統(tǒng)完整性審核工具時，我們要考慮的因素很多，包括的不同，網(wǎng)絡(luò)環(huán)境的差異，是否可以進(jìn)行遠(yuǎn)程快照生成和，是否支持特殊文件系統(tǒng)格式，是否具有自動日程安排和提醒等。

　　工具

　　Tripwire是一款著名的完整性審計工具，大家可以參考《Implement integrity auditing with basic utilities》。簡單來講：

　　Tripwire是適用范圍最廣泛，使用量最高的一款專業(yè)級的完整性審核工具。商業(yè)版本叫做Tripwire Change Auditing，同時它還有一個開源版本，適用于主流的Unix開源系統(tǒng)。

　　Tripwire之所以有廣泛的使用量，是因為它非常靈活，可以通過配置應(yīng)用于各種不同的環(huán)境。

　　換句話說，如果你想擁有的功能已經(jīng)能通過現(xiàn)有的軟件來實現(xiàn)了，那么就用現(xiàn)有的軟件好了。其它選擇包括rsync ，它是一款相對簡單的獨立的文件完整性審計系統(tǒng)。實際上，如果你將備份工具rsync 作為一個文件系統(tǒng)完整性審核工具，你同時也具備了一個文件備份系統(tǒng)，可謂是一石二鳥。

　　有些操作系統(tǒng)本身自帶這樣的軟件，有些則沒有，對于后者，可以選擇上面提到的兩款產(chǎn)品。比如，如果你運(yùn)行的是FreeBSD 系統(tǒng)，而你采用的備份軟件并不同時具備文件系統(tǒng)完整性審核系統(tǒng)，那么可以使用一個叫做mtree的工具實現(xiàn)該功能，而這個工具在每一款標(biāo)準(zhǔn)的FreeBSD系統(tǒng)中都有。FreeBSD在安裝時就會利用mtree自動創(chuàng)建操作系統(tǒng)的一系列文件夾，同時Ports系統(tǒng)也使用它建立端口。由于它已經(jīng)被安裝在系統(tǒng)中了，那么我們就可以使用mtree作為文件系統(tǒng)完整性審計工具。它甚至還具備其它工具所不具備的功能。比如和Tripwire相比，mtree可以識別Unix系統(tǒng)的文件標(biāo)旗。

　　最佳規(guī)則

　　雖然可以用來進(jìn)行系統(tǒng)快照拍攝以及文件系統(tǒng)完整性審核的工具很多，但是一些基本的使用規(guī)則還是一致的：

　　你的文件系統(tǒng)中需要合理改變的部分越少，就越適合進(jìn)行文件完整性審核。比如，在Unix系統(tǒng)上， /var 文件系統(tǒng)一般都會不斷的變化，因為其上有很多日志文件，而針對這種持續(xù)更新變化的文件系統(tǒng)而保留一個可用的文件系統(tǒng)快照，幾乎是不可能的。而另一方面， /bin文件系統(tǒng)很少發(fā)生變化，因為其中存儲的只是核心系統(tǒng)工具，即大部分穩(wěn)定的可執(zhí)行程序。

　　文件系統(tǒng)中所包含的操作系統(tǒng)基本文件越多，尤其是包含的可執(zhí)行的系統(tǒng)工具越多，就越有必要通過文件系統(tǒng)完整性審核工具進(jìn)行保護(hù)。核心系統(tǒng)工具尤其容易遭受rootkit攻擊，因為將一個好的工具替換為一個可以自動清除黑客攻擊痕跡的被修改過的工具，是一些精明的黑客保持自己不被發(fā)現(xiàn)的很好手段。/bin文件系統(tǒng)中就包含了大量的Unix系統(tǒng)工具，而/var 文件系統(tǒng)下一般沒有任何可執(zhí)行文件。

　　如果系統(tǒng)被入侵了，那么拍攝快照時，應(yīng)該確保拍攝快照的工具沒有被入侵。這意味著，要么將拍攝快照的可執(zhí)行文件存儲于只讀的媒介上，如不可復(fù)寫的光盤，通過光驅(qū)讀取并執(zhí)行程序，或者在遠(yuǎn)程未被入侵的電腦上運(yùn)行程序來拍攝快照。如果拍攝快照的程序也被入侵了，那么完整性審核系統(tǒng)就有可能失去其應(yīng)有的作用。

　　快照應(yīng)該被保存在不被入侵的環(huán)境。不管你使用的工具有多先進(jìn)，以及你如何對快照文件進(jìn)行保護(hù)，一旦一個黑客高手入侵了系統(tǒng)，并篡改了快照文件，那么這些快照文件就再也無法正確的代表系統(tǒng)最初的狀態(tài)，也就無法再用來進(jìn)行文件系統(tǒng)完整性審核了。

　　以一個確定準(zhǔn)確的快照為依據(jù)，進(jìn)行定期的完整性審核。你需要重新建立一個干凈的系統(tǒng)快照的時間是在需要改變系統(tǒng)時，即在改變一個安全系統(tǒng)前需要獲取系統(tǒng)快照。有些文件系統(tǒng)完整性審計工具，尤其是那些和備份工具結(jié)合的審計工具，比如rsync ，可能會要求你更頻繁的進(jìn)行系統(tǒng)快照，因為此類工具實際上就是在備份系統(tǒng)快照。

　　如果你打算修改文件系統(tǒng)中的某些內(nèi)容，那么一定要在修改前將該文件系統(tǒng)與之前保存的系統(tǒng)快照進(jìn)行比對，審核文件系統(tǒng)的完整性沒有變化。這樣做可以讓你確信在你修改文件系統(tǒng)之前，系統(tǒng)仍然是安全的。如果經(jīng)過審核發(fā)現(xiàn)了問題，那么應(yīng)該立即對文件系統(tǒng)的變動進(jìn)行追查，搞清楚原因后再進(jìn)行原先需要進(jìn)行的修改工作。否則這就失去了文件系統(tǒng)完整性審核的意義了。

　　如果你修改了文件系統(tǒng)中的內(nèi)容，并且在修改前對文件系統(tǒng)進(jìn)行了完整性審核，沒有發(fā)現(xiàn)問題，那么在修改文件系統(tǒng)之后，應(yīng)該在任何可能的惡意入侵還沒有發(fā)生之前，立即獲取新的文件系統(tǒng)快照。一旦你對文件系統(tǒng)進(jìn)行了合理合法的修改，那么之前那個舊的文件系統(tǒng)快照就不在有效了，你應(yīng)該用新的文件系統(tǒng)快照來代替原有的文件系統(tǒng)快照，以便在未來進(jìn)行審核。

　　經(jīng)常備份，充分利用備份，這樣才能在系統(tǒng)被入侵后，在第一時間恢復(fù)安全的系統(tǒng)文件。如果你所運(yùn)營的系統(tǒng)對于在線時間有嚴(yán)格要求，而你又發(fā)現(xiàn)系統(tǒng)文件已經(jīng)被篡改，你一定不希望在恢復(fù)文件系統(tǒng)時長時間離線。一個好的備份可以極大的縮短系統(tǒng)的恢復(fù)時間，因為就算系統(tǒng)上沒有什么數(shù)據(jù)，你也不能重新安裝整個系統(tǒng)。

　　如果一個系統(tǒng)在進(jìn)行文件系統(tǒng)完整性審核時發(fā)現(xiàn)有問題，那么在解決這個問題之前，一定不要將敏感數(shù)據(jù)存儲在這個文件系統(tǒng)中。這是一個完整性審核系統(tǒng)的主要目的：知道一個系統(tǒng)被入侵了，就可以通過安全恢復(fù)防止任何進(jìn)一步的損失發(fā)生。

　　如果你在一個文件系統(tǒng)中發(fā)現(xiàn)了非法改動的痕跡，千萬不要假定這種改動就僅僅出現(xiàn)在這一個文件系統(tǒng)中。

　　你的系統(tǒng)越容易成為目標(biāo)，你就應(yīng)該越認(rèn)真的考慮安裝文件系統(tǒng)完整性審核系統(tǒng)來保護(hù)你的系統(tǒng)。同時，就算是最粗心的用戶，就算他的服務(wù)器系統(tǒng)再沒有價值，一個基本的文件系統(tǒng)完整性審核系統(tǒng)也可以幫助到他。畢竟，越快知道自己的系統(tǒng)被入侵了，那么被攻擊者修改和破壞的文件系統(tǒng)范圍就越小。