Mevcut sunucuyu devral

9

Ben sadece kovuldu önceki sunucu adam 6 web sunucuları miras, ben bir Devyss değilim bir sysadmin değilim.

Biri beni mevcut sunucuları devralırken izleyeceği bir tür standart kontrol listesine yönlendirebilir mi? Bilmem gereken şeyler:

  1. Sunucularda hangi yazılım var?
  2. Güvenli olduklarını kontrol etmek için yapmam gereken standart şeyler nelerdir?
  3. onlara ne bağlanıyor ve onlar da neye bağlı?
  4. Başka ne bilmeliyim?

Herhangi bir tavsiye edilir, bir başlangıç ​​olarak takip ediyorum standart bir tür kontrol listesi vardı, ama bir şey bulamadı umuyordum.

Tüm sunucular Ubuntu'dur (çeşitli versiyonlar)

linux  ubuntu 
user3408844
kaynak
3
Siz bir DevOps değilsiniz. DevOps bir başlık değil, bir kültür.
gWaldo
"" Bir sistem yöneticisi işini yapmak zorunda kalmak zorunda olan bir geliştirici, bir sistem yöneticisinin uzmanlığı olmadan, ancak dahil olan tüm kavramların iyi bir şekilde anlaşılması ve "
geçinmek
Wikipedia'da DevOps'u okuduğumu kabul ettim Yanlış kullandığımı görüyorum, ancak yarı syadmin olmak zorunda olan geliştiricilerin günlük yaşamında argo gibi görünüyor
user3408844
Açıkladığınız terim "Geliştirici" veya "Bazı Sistem / İşlem görevlerini üstlenmek zorunda olan Geliştirici" dir.
gWaldo
Vaov! - buna çok çaba sarf
user3408844 16:14

Yanıtlar:

24

  1. Hangi yazılımın kurulu olduğunu belirlemek için /var/log/dpkg.log dosyasını inceleyebilirsiniz. Ancak, bu tam bir kayıt olmayabilir. Manuel olarak derlenen veya önceden derlenen sisteme doğrudan kopyalanan ikili dosyalar ve kodlar olabilir. Sen olabilir varsayılan dosyaları farklı ne için sunucu (lar) ve görünüme aynı Ubuntu sürüm ve tip yükleme karşılaştırmak, ama bu sessiz sıkıcı olabilir. Bir dosya monitör çözüm idealdir (tripewire, inotifywatch vs.) olacaktır http://linuxcommando.blogspot.com/2008/08/how-to-show-apt-log-history.html

  2. Sunucuda HER ŞEYİ kontrol etmeniz gerekir . / Etc / passwd içindeki her kullanıcı hesabı , her uygulama kullanıcı hesabı (Apache / PHP'deki kullanıcılar, veritabanı hesapları vb.) Hesaba katılmalı ve tüm şifreleri değiştirmelisiniz. Hangi hizmetlerin önyüklemede başlatıldığını, varsayılan çalışma düzeyinin ne olduğunu ve ne ile ve diğer çalışma düzeyleriyle başladığını kontrol etmelisiniz. Geçerli durumu denetlemek için bir güvenlik açığı tarayıcısı ve temel yapılandırma aracı kullanırdım. Internet Güvenliği Merkezi ücretsiz bir yapılandırma değerlendirme aracı sunar, ancak sınırlı olabilir. Üye kuruluşlar için daha gelişmiş araçlara sahiptirler ($). http://benchmarks.cisecurity.org/ OpenVAS, benzer yeteneklere sahip olabilen Nessus'un aksine bir FOSS tarayıcıdır. Kontrol edilecek daha birçok şey var, ancak bu cevap zaten biraz uzun sürüyor ... (Webapps ve web sayfaları için kod incelemesi iyi bir örnektir.)

  3. Netstat için çeşitli bayraklara sahip sunuculara bağlantı için kullanılabilen bağlantı noktalarının durumunu gözden geçirebilirsiniz . http://www.thegeekstuff.com/2010/03/netstat-command-examples/ Sunucuya kimlerin bağlandığını belirlemek için , sistem günlüklerini gözden geçirerek en seksi Internet Güvenliği etkinliklerine başvurmanız gerekir. Bilgiler, sistemde hangi uygulamaların ve sunucuların bulunduğuna bağlı olarak birkaç günlükten birinde olabilir. Varsa, harici ağ günlüklerinde de şansınız olabilir.

  4. Yapmanız gereken çok şey var. Önceki yöneticinin işten çıkarıldığını belirttiniz ; bu kişiden kötü niyetli niyetten şüpheleniyorsanız (yani arka odalardan çıkmışlar, boobie tuzakları, mantık bombaları vb.), sunucuları temiz medyadan yeniden oluşturmak ve webapps'leri yeniden uygulamak için neredeyse kesin olduğundan emin olabilirsiniz. Bu önceki yönetici bu sisteme tam erişime ve kontrole sahipse ve özenli denetime ve fazla mesaiye maruz kalmamışsa, muhtemelen arka kapılar olduğunu varsaymalısınız.

Bu, önceki yöneticiyle ilgili kötümser bir varsayımı temel alır. Maalesef bu çerez operasyonel ağ güvenliği için parçalanıyor. Söylediğim gibi, göz önünde bulundurulması gereken daha çok şey var ... burada ele alınabilecek kadar çok. Bu hususlar size başlamanız için bazı şeyler vermelidir, böylece yönetime biraz ilerleme kaydettiğinizi bildirebilirsiniz; ama acımasızca dürüst olmak gerekirse, bir güvenlik profesyoneli değilseniz ve bu kişinin kötülükle hareket ettiğinden şüpheleniyorsanız, muhtemelen başınızın üzerindesiniz.

Bu yönetim ile popüler olmayan bir cevaptır, çünkü çok fazla çaba gerektirir (bu da daha fazla $ anlamına gelir), ancak genel güvenlik odaklı cevap şüpheye düştüğünde, temiz kaynaklardan silin ve yeniden oluşturun . En önemli gov't sistemleri kötü amaçlı yazılımlarla böyle çalışır; AV'den bir uyarı gelirse, sistem ayrılır, silinir ve yeniden oluşturulur. Umarım bir yedekleme yapmışsınız çünkü veriler GONE .

İyi şanslar ve bu yararlı ve sadece iç karartıcı umuyoruz.

0xSheepdog
kaynak
Bu soru ayrıca StackExchange sitesi için de uygun olabilir www.AskUbuntu.com
0xSheepdog
2
Mükemmel cevap.
EEAA
3
İyi bir yapılandırma yapılandırması varsa silme ve yeniden oluşturma muhtemelen çok daha kolay hale gelir. Eğer yapmazsanız, muhtemelen bu hedefe doğru çalışmayı düşünmelisiniz.
14'te zigg
2
/var/log/dpkg.logkurulum sürecinin kendisini gözden geçirmek için uygundur (ve hataları arayın), ancak kurulu paketlerin bir listesini almak için, çıktısının dpkg -lveya daha da basitleştirilmesi dpkg --get-selectionssindirimi daha kolay olacaktır.
Mart'ta Dubu
0

Adam sayfaları senin arkadaşın: 

 man <command>

Bu yaygın olarak kullanılan komutlara ve kullanımlarına göz atın. Her biri için kılavuz sayfalarında veya bazı durumlarda yayınlayarak daha fazla yardım alın

  <command> --help

Yazılım:

  • dpkg -l (kurulu yazılımı listele)
  • ps -ef | more (çalışan işlemlerin bir listesini alın ve okumak için duraklatın)

Güvenlik:

  • iptables (hangi bağlantı noktalarının açık olduğu ve gerekli oldukları)
  • apt-get ile güncellemeleri kontrol et (sunucular güncel mi?)
  • cat / etc / passwd (kutuda hesabı olan)
  • sshd (sshd'nin çalışıp çalışmadığını ve kimlerin oturum açabileceğini kontrol edin)

Bağlantılar:

  • netstat (hangi hizmetleri dinliyor ve hangi bağlantı noktalarında)

İyi şanslar. Onları çalıştıran kişi sizi eğitme fırsatına sahip olmadan bir grup sunucuyu miras almak zor. Adam kovulduysa daha da endişe verici çünkü bir sebep olduğunu varsayarım ve işle ilgili olduğunu varsayarsam toplu işte bazı garip kurulumlar olabilir.

Chris Jones
kaynak
0

  1. hangi uygulamalar çalışıyor: işlem listesini almak için bir "ps -ef" veya "ps -auxw" yapın. çekirdekle ilgili olmayan her şeyi ayıkla, koşan şeyleri ara, ne olduğunu anlamak için her birinde man sayfaları yap. Kullanıcı uygulamaları olmadığı için göz ardı edebileceğiniz çalışan işlemlerin çoğu

  2. güvenlik için: hangi portların açık olduğunu görmek için "netstat -pan" yapın ve gerekli olmayanları kapatın. Başka bir deyişle, açık olması gereken tek port bu sunucular tarafından sağlanan ağ servislerine karşılık gelen portlardır. Sunucu bir web sunucusuysa, 80/443 / vb. Bağlantı noktasını dinliyor olması gerektiği açıktır. Ancak sunucu 21 numaralı bağlantı noktasını dinliyorsa ve kimse bu bağlantı noktasını kullanmıyorsa, o bağlantı noktasının açık olduğu işlemi kapatmalısınız.

  3. bağlantılar için, yine "netstat -pan" size cevap verir. Hangi ana bilgisayarların bağlı olduğunu ve hangi bağlantı noktalarına bağlı olduklarını gösterir.

  4. Sistemin ne yaptığını öğrenmek ve farklı uygulamalardan gelen açık hatalar veya kırmızı bayraklar olup olmadığını görmek için / var / log içindeki günlüklere bakın.

Michael Martinez
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.