Önceki BT personelinin arka kapısını nasıl ararsınız?

Bunun olduğunu hepimiz biliyoruz. Acı yaşlı bir BT adamı , yeni adamlarla eğlenmek ve şirkete onsuz işlerin ne kadar kötü olduğunu göstermek için sisteme ve ağa bir arka kapı bırakır .

Bunu kişisel olarak hiç yaşamadım. En çok tecrübe ettik, ayrılmadan hemen önce bir şeyler kırıp çaldı Bunun olmasına rağmen eminim.

Öyleyse, güvenilmez bir ağ ele geçirirken, her şeyin güvenli ve güvenli olmasını sağlamak için hangi adımlar atılmalıdır?

Gerçekten, gerçekten, gerçekten zor. Çok eksiksiz bir denetim gerektiriyor. Yaşlı bir kişinin ardında bir şey bıraktığından eminseniz, patlayacak ya da yeniden işe almaları gerekecek çünkü yangın çıkaran tek kişi onlardı. düşmanca parti. Bir grup bilgisayar korsanı gelip bir şeyler çalmış gibi davranın ve onların karmaşasından sonra temizlemelisiniz. Çünkü olan bu.

• Belirli bir varlık ile ilişkilendirildiğinden emin olmak için her sistemdeki her hesabı denetleyin.
  • Sistemlerle ilişkili görünen ancak hiç kimsenin hesaba katamayacağı hesaplar güvensizdir.
  • Herhangi bir şeyle ilişkili olmayan hesapların temizlenmesi gerekir (bunun yine de yapılması gerekir, ancak bu durumda özellikle önemlidir)
• Muhtemelen temasa geçebilecekleri tüm şifreleri değiştiriniz.
  • Bu, yardımcı hesaplar için gerçek bir sorun olabilir çünkü bu şifreler bir şeylere katı kodlanma eğilimindedir.
  • Son kullanıcı çağrılarına cevap veren bir yardım masası türü olduysa, yardım ettikleri kişinin şifresine sahip olduklarını varsayalım.
  • Active Directory'de Kurumsal Yönetici veya Etki Alanı Yöneticisi varsa, ayrılmadan önce şifre karmalarının bir kopyasını aldıklarını varsayalım. Bunlar o kadar hızlı bir şekilde kırılabilir ki, şirket genelinde bir şifre değişikliğinin birkaç gün içinde zorlanması gerekecek.
  • Herhangi bir * nix kutuya root erişimi varsa, şifre karmaları ile yürüdüklerini varsayalım.
  • Anahtarlarının temizlendiğinden emin olmak için tüm açık anahtar SSH anahtar kullanımlarını gözden geçirin ve açıkken herhangi bir özel anahtarın açığa çıkıp çıkmadığını denetleyin.
  • Herhangi bir telekom donanımına erişimi varsa, yönlendirici / anahtar / ağ geçidi / PBX şifrelerini değiştirin. Bu, önemli kesintileri içerebileceği için gerçekten çok büyük bir acı olabilir.
• Çevre güvenlik düzenlemelerinizi tamamen denetleyin.
  • Tüm güvenlik duvarı deliklerinin bilinen yetkili cihazlara ve bağlantı noktalarına göre izlenmesini sağlayın.
  • Tüm uzaktan erişim yöntemlerinin (VPN, SSH, BlackBerry, ActiveSync, Citrix, SMTP, IMAP, WebMail, ne olursa olsun), üzerinde ilave kimlik doğrulaması bulunmadığından emin olun ve yetkisiz erişim yöntemleri için bunları tamamen gözden geçirin.
  • Uzak WAN bağlantılarının tamamen çalışan insanlara izini sürdüğünden emin olun ve doğrulayın. Özellikle kablosuz bağlantılar. Bir şirket tarafından ödenen hücre modemi veya akıllı telefon ile çıkmalarını istemiyorsunuz. Doğru cihaza sahip olduklarından emin olmak için bu tür kullanıcılarla iletişime geçin.
• Dahili ayrıcalıklı erişim düzenlemelerini tamamen denetleyin. Bunlar, genel kullanıcıların sahip olmadığı sunuculara SSH / VNC / RDP / DRAC / iLO / IMPI erişimi veya bordro gibi hassas sistemlere erişim gibi şeylerdir.
• Kişilerin doğru olduğundan emin olmak için tüm dış satıcılarla ve servis sağlayıcılarla çalışın.
  • Tüm irtibat ve servis listelerinden çıkarılmalarını sağlayın. Bu, herhangi bir ayrılıştan sonra da yapılmalıdır, ancak şimdi çok önemlidir.
  • Tüm kişileri doğrulamak meşru ve doğru iletişim bilgilerine sahip, bu kimliğe bürünebilecek hayaletleri bulmaktır.
• Mantık bombalarını avlamaya başla.
  • Tüm otomasyonları (görev zamanlayıcıları, cron işleri, UPS çağrı listelerini veya programda çalışan ya da tetiklenen olayları) kötü belirtileri açısından kontrol edin. "Hepsi" derken hepsini kastediyorum. Her crontab'ı kontrol et. Problarınız dahil, izleme sisteminizde her otomatik işlemi kontrol edin. Her bir Windows Görev Zamanlayıcı'yı kontrol edin; iş istasyonları bile. Hükümet için son derece hassas bir alanda çalışmadığınız sürece "hepsini" karşılayamazsınız, elinizden geldiğince yapın.
  • Olması gerektiği gibi olduklarından emin olmak için her sunucudaki anahtar sistem ikili dosyalarını doğrulayın. Bu, özellikle Windows'ta çok zordur ve bir defalık sistemlerde geriye dönük olarak yapmak neredeyse imkansızdır.
  • Rootkit'leri aramaya başlayın. Tanım olarak bulmak zor, ama bunun için tarayıcılar var.

En azından kolay değil, uzaktan bile kapanmıyor. Tüm bunların masraflarını haklı çıkarmak, şimdiki yöneticinin aslında kötü olduğuna dair kesin bir kanıt olmadan gerçekten zor olabilir. Yukarıdakilerin tamamı, bu işlerin bir kısmını yapmak için güvenlik danışmanlarının işe alınmasını gerektirecek şirket varlıklarıyla bile mümkün değildir.

Gerçek bir kötülük tespit edilirse, özellikle de kötülük bir tür yazılımdaysa, sorunun kapsamını belirlemek için eğitimli güvenlik uzmanları en iyisidir. Bu aynı zamanda bir ceza davası açılmaya başlayabileceği noktadır ve gerçekten delilleri kullanma konusunda eğitilmiş kişilerin bu analizi yapmasını istersiniz.

Ama, gerçekten, ne kadar ileri gitmen gerekiyor? Risk yönetiminin devreye girdiği yer burasıdır . Basitçe, bu beklenen riski kayba karşı dengeleme yöntemidir. Sysadmins bunu, hangi saha dışı yere yedekleme yapmak istediğimize karar verdiğimizde yapar; bölge dışı veri merkezlerine karşı banka kasası. Bu listenin ne kadarının gerekli olduğunu bulmak, risk yönetimi konusunda bir alıştırmadır.

Bu durumda değerlendirme birkaç şeyle başlayacaktır:

• Ayrılan kişinin beklenen yetenek seviyesi
• Ayrılanların erişimi
• Kötülüğün beklentisi
• Herhangi bir kötülüğün potansiyel hasarı
• Önceden tespit edilmiş bir kötülük ile vs arasında işlenen kötülüğü rapor etmek için yasal şartlar. Genel olarak eskiyi bildirmek zorundasınız, ancak daha sonra değil.

Yukarıdaki tavşan deliğinin ne kadar altına inileceği kararı bu soruların cevaplarına bağlı olacaktır. Kötülük beklentisinin çok az olduğu rutin idareciler için tam sirk gerekli değildir; Yönetici düzeyinde şifreleri değiştirmek ve harici bakan SSH ana bilgisayarlarını yeniden anahtarlamak muhtemelen yeterlidir. Yine kurumsal risk yönetimi güvenlik pozisyonu bunu belirlemektedir.

Sebep nedeniyle feshedilen veya kötülükleri normal ayrılmalarından sonra kesilen yöneticiler için sirk daha çok ihtiyaç duyulur. En kötü senaryo, pozisyonlarının 2 hafta içinde gereksiz hale getirileceği konusunda bilgilendirildiği paranoyak bir BOFH tipidir; Bu gibi durumlarda Kyle'ın cömert bir kıdem tazminatı paketi fikri her türlü sorunu azaltabilir. Paranoyaklar bile, 4 aylık maaşları içeren bir çek geldikten sonra birçok günahı affedebilir. Bu kontrol muhtemelen kötülüklerini ortadan kaldırmak için gereken güvenlik danışmanlarının maliyetinden daha düşük maliyetli olacaktır.

Fakat nihayetinde, kötülüğün yapılmasının, gerçekte yapılan herhangi bir kötülüğün potansiyel maliyetine karşı olup olmadığına karar vermenin maliyetidir.

Ödediğinize karşı ne kadar kaygınızın bulunduğuna ve ödemeye istekli olduğunuza dair bir denge olduğunu söyleyebilirim.

Çok endişe
duyuyorsanız : Çok endişe duyuyorsanız, her şeyi hem dış hem de iç perspektifte taramak için bir dış güvenlik danışmanı işe almak isteyebilirsiniz. Bu kişi özellikle akıllı olsaydı, başınız belaya girebilirdi, bir süre uyuyacak bir şeye sahip olabilirlerdi. Diğer seçenek basitçe her şeyi yeniden inşa etmektir. Bu çok aşırı gelebilir ancak çevreyi iyi öğreneceksiniz ve aynı zamanda bir felaket kurtarma projesi de yapacaksınız.

Hafif Endişeli:
Sadece biraz endişeliyseniz, sadece yapmak isteyebilirsiniz:

• Dışarıdan bir port taraması.
• Virüs / Casus Yazılım Taraması. Linux Makineleri için Rootkit Tarama.
• Anlamadığınız herhangi bir şey için güvenlik duvarı yapılandırmasına bakın.
• Tüm şifreleri değiştirin ve bilinmeyen hesapları arayın (artık şirkette bulunmayan birini aktif hale getirmediğinden emin olun, vb. Kullanabilsinler).
• Bu ayrıca bir İzinsiz Giriş Tespit Sistemi (IDS) kurmaya bakmak için iyi bir zaman olabilir.
• Günlükleri normalde olduğundan daha yakından izle.

Gelecek İçin:
Bir yönetici ayrılırken ileriye gitmek ona güzel bir parti verir ve sarhoşken ona eve bir yolculuk teklif eder - sonra onu en yakın nehir, bataklık veya göle atın. Daha ciddi olarak, bu, yöneticilere cömert kıdem tazminatı ödemesi için iyi sebeplerden biridir. Mümkün olduğunca ayrılma konusunda kendilerini iyi hissetmelerini istiyorsun. Kendini iyi hissetmese bile, kimin umurunda ?, em ve onları mutlu et. Sanki senin suçun, onların değil. İşsizlik sigortası maliyetlerindeki artışın ve kıdem tazminatının maliyeti, yapabilecekleri zararla karşılaştırılmaz. Bunların hepsi en az direnç ve mümkün olduğu kadar az drama yaratmanın yolu ile ilgili.

Teamviewer, LogmeIn, vb. Unutma. Unutmayın ki, bu zaten belirtildi, ama nmap's ile taranan alt ağ (lar) da dahil olmak üzere her sunucu / iş istasyonunun bir yazılım denetimi (orada birçok uygulama) zarar vermez NSE komut dosyaları.

Öncelikle ilk şeyler - tesis dışı depolamadaki her şeyin bir yedeğini alın (örneğin, banttan çıkardığınız veya sakladığınız HDD) Bu şekilde, kötü niyetli bir şey olursa, biraz iyileşebilirsin.

Ardından, güvenlik duvarı kurallarınızı tarayın. Herhangi bir şüpheli açık port kapatılmalıdır. Bir arka kapı varsa o zaman erişimi engellemek iyi bir şey olurdu.

Kullanıcı hesapları - hoşnutsuz kullanıcınızı arayın ve erişimlerinin mümkün olan en kısa sürede kaldırılmasını sağlayın. SSH anahtarları varsa veya / etc / passwd dosyaları veya LDAP girişleri, hatta .htaccess dosyaları da taranmalıdır.

Önemli sunucularınızdaki uygulamaları ve aktif dinleme bağlantı noktalarını arayın. Onlara bağlı çalışan işlemlerin mantıklı görünmesini sağlayın.

Sonunda kararlı bir hoşnutsuz çalışan her şeyi yapabilir - sonuçta, tüm iç sistemler hakkında bilgi sahibi olur. Olumsuz eylemde bulunmamak için dürüstlüklerinin olduğunu umuyor.

İyi işletilen bir altyapı, büyük ölçüde bunu önlemek için araçlara, izlemeye ve kontrollere sahip olacak. Bunlar şunları içerir:

• Doğru ağ bölümlendirme ve güvenlik duvarı
• Ana bilgisayar tabanlı IDS
• Ağ tabanlı IDS
• Merkez günlüğü
• Giriş kontrolu
• Kontrolü değiştir

Bu araçlar uygun şekilde yerleştirilirse, bir denetim iziniz olur. Aksi takdirde, tam bir penetrasyon testi yapmak zorunda kalacaksınız .

İlk adım, tüm erişimi denetlemek ve tüm şifreleri değiştirmek olacaktır. Dış erişime ve potansiyel giriş noktalarına odaklanın - bu, zamanınızın en iyi olduğu yerdir. Dış ayak izi gerekçeli değilse, ortadan kaldırın veya küçültün. Bu, dahili olarak daha fazla ayrıntıya odaklanmanız için zaman sağlayacaktır. Tüm giden trafiğin de farkında olun, çünkü programatik çözümler kısıtlı verileri harici olarak aktarıyor olabilir.

Sonuçta, bir sistem ve ağ yöneticisi olmak, her şey değilse çoğuna tam erişim sağlar. Bununla, yüksek derecede sorumluluk geliyor. Bu sorumluluk seviyesinde işe alım, hafif bir şekilde alınmamalı ve en baştan riski en aza indirecek adımlar atılmalıdır. Bir meslek sahibi işe alındığında, hatta kötü şartlarda olsa bile, profesyonelce ya da yasa dışı olacak eylemlerde bulunmazlar.

Sunucu Hatası üzerinde güvenlik için uygun sistem denetimini ve ayrıca birinin feshedilmesi durumunda ne yapılması gerektiğini kapsayan birçok ayrıntılı mesaj vardır. Bu durum bunlardan farklı değil.

Akıllı bir BOFH aşağıdakilerden herhangi birini yapabilir:

1. Komutları almak için iyi bilinen bir bağlantı noktasında netcat giden bağlantı başlatan periyodik program. Örneğin, Liman 80. Eğer iyi yapılırsa, ileri ve geri trafik bu liman için trafik görünümüne sahip olacaktır. Bu yüzden eğer 80 numaralı bağlantı noktasında HTTP başlıkları olacaktı ve yük, görüntülere gömülü parçalar olacaktı.

2. Dosyaları çalıştırmak için belirli yerlerde görünen aperiodic komutu. Yerler kullanıcılar bilgisayarlarında, ağ bilgisayarlarında, veritabanlarındaki ek tablolarda, geçici biriktirme dosya dizinlerinde olabilir.

3. Diğer arka kapılardan birinin veya daha fazlasının hala yerinde olup olmadığını kontrol eden programlar. Değilse, üzerine bir varyant yüklenir ve ayrıntılar BOFH'a e-posta ile gönderilir.

4. Artık yedeklemeler yapıldığında disk ile yapıldığından, en azından bazı kök kitlerinizi içerecek şekilde yedeklemeleri değiştirin.

Kendinizi bu tür şeylerden korumanın yolları:

1. Bir BOFH sınıfı çalışanı ayrıldığında, DMZ'ye yeni bir kutu yerleştirin. Güvenlik duvarından geçen tüm trafiğin bir kopyasını alır. Bu trafikte anomalileri arayın. İkincisi önemsiz değildir, özellikle BOFH normal trafik düzenini taklit etmede iyi olduğunda.

2. Sunucularınızı, kritik ikili dosyalar salt okunur ortamlarda depolanacak şekilde yineleyin. Diğer bir deyişle, / bin / ps'yi değiştirmek istiyorsanız, makineye gitmek, fiziksel olarak RO'dan RW'ye geçmek, tek kullanıcıyı yeniden başlatmak, bu bölümü yeniden ayarlamak, ps yeni bir kopyasını yüklemek, senkronize etmek, yeniden başlatmak, geçiş anahtarı. Bu şekilde yapılan bir sistem, en azından bazı güvenilir programlar ve daha fazla iş yapmak için güvenilir bir çekirdeğe sahiptir.

Tabii ki, eğer pencereleri kullanıyorsanız, saklanırsınız

3. Alt yapınızı bölümlendirin. Küçük ve orta ölçekli firmalarla mantıklı değil.

Bu tür şeyleri önlemenin yolları.

1. Veteriner başvuranları dikkatlice.

2. Bu kişilerin hoşnutsuz olup olmadıklarını öğrenin ve personel sorunlarını önceden düzeltin.

3. Bu tür güçlere sahip bir idareciyi işten çıkardığınızda pastayı tatlandırın:

   a. Maaşı ya da maaşının bir kısmı, bir süre boyunca ya da BT personeli tarafından açıklanamayan sistem davranışında büyük bir değişiklik olana kadar devam eder. Bu üstel bir bozulma olabilir. Örneğin o 6 ay, 6 ay boyunca% 80, yüzde 80'i için tam ödeme alır o önümüzdeki 6 ay için.

   b. Maaşının bir kısmı, ayrıldıktan bir ila beş yıl boyunca geçerli olmayan hisse senedi opsiyonları şeklindedir. Bu seçenekler o gidince kaldırılmaz. Şirketin 5 yıl içinde iyi çalışacağından emin olmak için bir teşviki var.

Bu, yöneticinin ayrılmasından önce bile problemin var olduğunu vurguluyor. Sadece bir o zaman sorunu daha çok fark eder.

-> Biri her değişikliği denetlemek için bir sürece ihtiyaç duyar ve sürecin bir parçası da değişikliklerin yalnızca bunun aracılığıyla yapılmasıdır.

Şirketteki herkese gittikten sonra bunları söylediğinizden emin olun. Bu, sosyal mühendislik saldırı vektörünü ortadan kaldıracaktır. Eğer şirket büyükse, o zaman bilmesi gereken insanların bildiğinden emin ol.

Yönetici yazılı koddan da sorumluysa (kurumsal web sitesi vb.), O zaman bir kod denetimi de yapmanız gerekecektir.

Herkesin bıraktığı büyük bir tane var.

Unutmayın ki sadece sistemler yoktur.

• Satıcılar o kişinin personelde olmadığını ve erişime izin verilmemesi gerektiğini biliyor mu (colo, telco)
• Ayrı parolalara sahip olabilecek herhangi bir harici barındırılan hizmet var mı (exchange, crm)
• Yine de şantaj malzemeleri olabilirler mi (tamam, birazcık ulaşmaya başlıyor ...)

Gerçekten gerçekten paranoyak olmadıkça, önerim dış dünya ile iletişim kurmaya şüpheli bir şey olup olmadığını görmek için birkaç TCP / IP tarama aracı (tcpview, wireshark vb.) Kullanıyor olacaktı.

Yönetici şifrelerini değiştirin ve orada olması gerekmeyen 'ek' yönetici hesabı olmadığından emin olun.

Ayrıca, kablosuz erişim şifrelerini değiştirmeyi ve güvenlik yazılımı ayarlarınızı kontrol etmeyi unutmayın (özellikle AV ve Güvenlik duvarı)

Sunucularınızdaki günlükleri (ve doğrudan çalıştıkları bilgisayarları) kontrol edin. Yalnızca hesaplarına değil, aynı zamanda bilinen yöneticileri olmayan hesaplara da bakın. Günlüklerinde delikler arayın. Bir sunucuda son bir olay günlüğü temizlendi, şüpheli.

Web sunucularınızdaki dosyalarda değiştirilmiş tarihi kontrol edin. Son değiştirilen tüm dosyaları listelemek ve incelemek için hızlı bir komut dosyası çalıştırın.

AD’deki tüm grup politikanız ve kullanıcı nesnelerinizde en son güncellenmiş tarihi kontrol edin.

Tüm yedeklemelerinizin çalıştığını ve mevcut yedeklemelerin hala mevcut olduğunu doğrulayın.

Eksik olan geçmiş geçmişiniz için Birim Gölge Kopyası hizmetleri kullandığınız sunucuları kontrol edin.

Zaten listelenen pek çok güzel şey görüyorum ve hızlıca kontrol edebileceğiniz bu diğer şeyleri eklemek istedim. Her şeyi tam olarak gözden geçirmek için buna değer. Ancak en son değişikliklerin yapıldığı yerler ile başlayın. Bunlardan bazıları hızlı bir şekilde kontrol edilebilir ve size yardımcı olmak için bazı eski kırmızı bayraklara neden olabilir.

Temel olarak, eğer yetkin bir BOFH'nız varsa, mahkum edildiğinizi söyleyebilirim ... farkedilmeyecek bombalar yerleştirmenin bir sürü yolu var. Ve eğer şirketiniz kovulanları "manu-askeri" çıkarmak için kullanılırsa, bombanın işten çıkarılmadan önce iyi yerleştirileceğinden emin olun !!!

En iyi yol, kızgın bir yöneticiye sahip olmanın risklerini en aza indirmektir ... “Maliyet düşürme işten çıkarılmasından” kaçının (eğer yetkin ve kısır bir BOFH ise, maruz kalabileceğiniz zararlar muhtemelen alacağınızdan çok daha büyük olacaktır. işten çıkarılma) ... Eğer kabul edilemez bir hata yaptıysa, işten çıkarmaya alternatif olarak düzeltmesi (ödenmemiş) olması daha iyi olur ... Bir dahaki sefere hatayı tekrar etmemesi (bu bir artış olacaktır) onun değerine göre ...) Ancak iyi hedefi vurduğundan emin olun (yetersiz karizması olan ve yetenekli olmayan kişilerin kendi suçlarını yetkin fakat daha az sosyal olana karşı reddetmeleri yaygındır).

Ve eğer en kötü anlamda gerçek bir BOFH ile karşı karşıya kalırsanız (ve bu davranış işten çıkarmanın nedenidir), temas ettiği tüm sistemi sıfırdan yeniden yüklemeye hazır olmalısınız (bu muhtemelen muhtemelen her bir bilgisayar).

Tek bir bit değişikliğinin tüm sistemin zarar vermesine neden olabileceğini unutmayın (setuid bit, Eğer Carry ise Jump to Carry, ...) ve derleme araçlarının bile tehlikeye girebileceğini unutmayın.

Gerçekten bir şey biliyorsa ve önceden bir şey ayarlamışsa iyi şanslar. Bir dimwit bile telefon bağlantısını keserek telefondan arayabilir / e-postayla fakslayabilir veya hatta gün boyunca devrelerde tam test modelleri çalıştırmalarını isteyebilir.

Cidden, biraz sevgi ve ayrılmakta olan birkaç bin dolar göstermek gerçekten riski azaltır.

Evet, bir şifre veya başka bir şey almak için arama yaparlarsa, 1099 oranınızı ve arama başına 1 saat dakika ve 100 seyahat masrafını hatırlatırsanız hatırlatırız ...

Hey, bu benim bagajımla aynı! 1,2,3,4!

Çevreye başlamanızı öneririm. Güvenlik duvarı yapılandırmalarınızın ağa beklenmeyen giriş noktalarından olmadığından emin olun. Ağın yeniden girmesine ve herhangi bir bilgisayara erişmesine karşı fiziksel olarak güvenli olduğundan emin olun.

Tamamen çalışır durumda ve geri yüklenebilir yedekleriniz olduğunu doğrulayın. İyi bir yedekleme, eğer yıkıcı bir şey yaparsa veri kaybetmenize engel olur.

Çevre üzerinden izin verilen tüm hizmetleri kontrol edin ve erişiminin reddedildiğinden emin olun. Bu sistemlerin yerinde iyi çalışan kayıt mekanizmalarına sahip olduğundan emin olun.

Her şeyi silin, tekrar başlayın;)

Yak onu .... hepsini yak.

Emin olmanın tek yolu bu.

Ardından, tüm dış ilgi alanlarınızı, etki alanı kayıt şirketlerinizi, kredi kartıyla ödeme yapan sağlayıcıları yazın.

İkinci düşüncede, belki de herhangi bir Bikie arkadaşından bireyi sizi rahatsız etmemelerinin daha sağlıklı olduğuna ikna etmesini istemek daha kolaydır.

Muhtemelen, yol boyunca bir yerdeki yetkili bir yönetici, temel sistem yapılandırmasının YEDEK olarak adlandırılan şeyi yaptı. Bilinen bir güvenli yedeğin geri yüklenmesine olanak tanıyan makul düzeyde bir frekansla yapılan yedeklemeler olduğunu varsaymak da güvenli olacaktır.

Bazı şeyler göz önüne alındığında do değiştirmek, bunu birincil kurulum tehlikeye atılmamasını sağlamak kadar mümkünse sanallaştırılmış Yedeklemenizden çalıştırmak için iyi bir fikirdir.

En kötüsünün belirginleştiğini varsayarsak, elinizden geleni birleştirir ve kalanları elle girersiniz.

Hiç kimsenin kendimden önce güvenli bir yedekleme kullanmaktan bahsetmediği için şok oldum. Bu, özgeçmişimi İK departmanlarına sunmam gerektiği anlamına mı geliyor?

Onun bakış açısını almaya çalışın.

Sisteminizi ve ne işe yaradığını biliyorsunuz. Yani senin ne olabilir hayal etmek deneyebilirsiniz icat artık sysadmin olmak bile dışarıdan bağlamak için ...

Ağ altyapısının nasıl olduğuna ve tüm bunların nasıl çalıştığına bağlı olarak, ne yapılacağını ve bunun nerede bulunabileceğini bilen en iyi insansınız.

Ancak, deneysel bir bofhtan konuşuyorsanız , her yeri araştırmanız gerekir ...

Ağ izleme

Ana hedefi almaktır gibi uzak sistem kontrolünü, internet bağlantısı genelinde, sen firewall (bu !! çok bozuk çünkü hatta değiştirin) izlemek ve tespit etmek deneyebilirsiniz her aktif bağlantı.

Güvenlik duvarının değiştirilmesi tam bir koruma sağlamaz, ancak hiçbir şeyin gizli kalmamasını sağlar. Bu nedenle, güvenlik duvarı tarafından iletilen paketi izlerseniz , istenmeyen trafik de dahil olmak üzere her şeyi görmeniz gerekir .

Her tcpdumpşeyi (ABD paranoyakının yaptığı gibi) izlemek için kullanabilir ve benzeri gelişmiş bir araçla döküm dosyasına göz atabilirsiniz wireshark. Bu komutun ne olduğunu görmek için birkaç dakikanızı ayırın (diskte 100 Gb boş alana ihtiyaç duyar):

tcpdump -i eth0 -s 0 -C 100 -w tcpdump- -W 1000 >tcpdump.log 2>tcpdump.err </dev/null &

Her şeye güvenme

Bir şey bulsan bile, kötü bir şey bulduğundan emin olmazsın!

Son olarak, her şeyi yeniden kurmadan önce gerçekten sessiz kalmayacaksınız (güvenilir kaynaklardan!)

Sunucuyu yeniden yapamazsanız, bir sonraki en iyi şey muhtemelen güvenlik duvarlarınızı olabildiğince kilitlemektir. Her olası bağlantıyı takip edin ve mutlak minimuma indirildiğinden emin olun.

Tüm şifreleri değiştirin.

Tüm ssh anahtarlarını değiştirin.

Genellikle oldukça zor ...

ancak eğer bir web sitesi ise, Giriş düğmesinin hemen arkasındaki koda bakın.

Bir kez "eğer username = 'admin'" yazdık ...

Temelde, önceki BT insanlarının bilgisini değersiz hale getirin.

BT altyapısını etkilemeden değiştirebileceğiniz her şeyi değiştirin.

Tedarikçilerin değiştirilmesi veya çeşitlendirilmesi bir başka iyi uygulamadır.