我刚刚从之前的服务器家伙那里继承了6个Web服务器,我被解雇了,我不是系统管理员,我更像是DevOps.
任何人都可以指出我在继承现有服务器时会遵循的某种标准清单吗?我需要知道的事情是:
>服务器上有什么软件
>我应该做些什么来检查它们是否安全?
>连接到他们的是什么以及他们连接的是什么?
>我还应该知道什么?
任何建议都是受欢迎的,我希望有一个标准的清单,一个人会作为一个开始,但我找不到任何东西.
所有服务器都是Ubuntu(各种版本)
解决方法
>要确定已安装的软件,可以查看/var/log/dpkg.log
但是,这可能不是一个完整的记录.可能存在手动编译或直接复制到预编译系统的二进制文件和代码.
您可以将相同Ubuntu版本的默认安装和类型与服务器进行比较,并查找哪些文件不同,但这可能是安静乏味的.文件监控解决方案将是理想的(tripewire,inotifywatch等)
http://linuxcommando.blogspot.com/2008/08/how-to-show-apt-log-history.html
>您需要检查服务器上的所有内容. / etc / passwd中的每个用户帐户,每个应用程序用户帐户(例如Apache / PHP中的用户,数据库帐户等)都应该被考虑在内,您应该更改所有密码.
您应该检查在启动时启动哪些服务,默认运行级别是什么以及从它开始的内容以及其他运行级别.
我会使用漏洞扫描程序和基线配置工具来审核当前状态.互联网安全中心提供免费的配置评估工具,但可能有限.他们为成员组织提供了更多高级工具($).
http://benchmarks.cisecurity.org/
OpenVAS是一款FOSS扫描仪,与Nessus不同,它可能具有类似的功能.
还有很多东西需要检查,但这个答案已经有点长了……(Web应用程序和网页的代码审查就是一个很好的例子.)
>您可以通过各种netstat标志查看可用于连接服务器的端口状态.
http://www.thegeekstuff.com/2010/03/netstat-command-examples/
要确定谁已连接到服务器,您将不得不求助于最性感的Internet Security活动,查看系统日志.信息可以是多个日志中的任何一个,具体取决于系统上的应用程序和服务器.如果存在外部网络日志,您可能也会幸运.
>你有很多后续工作要做.你表示前一个管理员被解雇了;如果你怀疑那个人的恶意(即他们可能留下了后门,诱饵陷阱,逻辑炸弹等)你几乎肯定会更好地从干净的媒体重建服务器并重新实现他们的webapps.如果此前管理员具有对这些系统的完全访问权限和控制权,并且没有经过勤奋的审计和调整,那么您应该假设存在后门.
但是,这可能不是一个完整的记录.可能存在手动编译或直接复制到预编译系统的二进制文件和代码.
您可以将相同Ubuntu版本的默认安装和类型与服务器进行比较,并查找哪些文件不同,但这可能是安静乏味的.文件监控解决方案将是理想的(tripewire,inotifywatch等)
http://linuxcommando.blogspot.com/2008/08/how-to-show-apt-log-history.html
>您需要检查服务器上的所有内容. / etc / passwd中的每个用户帐户,每个应用程序用户帐户(例如Apache / PHP中的用户,数据库帐户等)都应该被考虑在内,您应该更改所有密码.
您应该检查在启动时启动哪些服务,默认运行级别是什么以及从它开始的内容以及其他运行级别.
我会使用漏洞扫描程序和基线配置工具来审核当前状态.互联网安全中心提供免费的配置评估工具,但可能有限.他们为成员组织提供了更多高级工具($).
http://benchmarks.cisecurity.org/
OpenVAS是一款FOSS扫描仪,与Nessus不同,它可能具有类似的功能.
还有很多东西需要检查,但这个答案已经有点长了……(Web应用程序和网页的代码审查就是一个很好的例子.)
>您可以通过各种netstat标志查看可用于连接服务器的端口状态.
http://www.thegeekstuff.com/2010/03/netstat-command-examples/
要确定谁已连接到服务器,您将不得不求助于最性感的Internet Security活动,查看系统日志.信息可以是多个日志中的任何一个,具体取决于系统上的应用程序和服务器.如果存在外部网络日志,您可能也会幸运.
>你有很多后续工作要做.你表示前一个管理员被解雇了;如果你怀疑那个人的恶意(即他们可能留下了后门,诱饵陷阱,逻辑炸弹等)你几乎肯定会更好地从干净的媒体重建服务器并重新实现他们的webapps.如果此前管理员具有对这些系统的完全访问权限和控制权,并且没有经过勤奋的审计和调整,那么您应该假设存在后门.
这是基于对前任管理员的悲观假设.不幸的是,这就是cookie为运营网络安全而崩溃的方式.正如我所说,还有更多需要考虑的方法……这里可以涵盖的内容远不止这些.这些要点应该给你一些开始做的事情,这样你就可以向管理层报告你正在取得一些进展;但是要诚实地说,如果你不是一名安全专业人士并且你有理由怀疑这个人的行为是恶意的,那么你可能已经过头了.
对管理层来说这是一个不受欢迎的答案,因为它需要付出很多努力(这意味着更多的钱),但一般安全的答案是在有疑问时,从清洁来源擦除和重建.这就是最重要的政府系统如何处理恶意软件;如果从AV发出警报,系统将被隔离,擦除和重建.希望你做了一个备份,因为数据是GONE.
祝你好运,我希望这是有帮助的,而不仅仅是令人沮丧.