|
表1 日志文件的信息 活动类型 日志包含的信息 用户活动 ·登记活动 ·用户身份改变 ·用户访问文件 ·授权信息 ·验证信息 处理活动 ·用户运行的命令 ·运行进程信息,包括程序名、用户、开始和停止时间、以及执行参数 系统活动 ·系统的启动和关闭 ·管理登录 网络连接 ·试图与系统连接、已经与系统连接的细节(时间、地点、类型) ·从系统建立连接的细节 网络通讯监控 ·所有网络通讯事务的记录 WEB服务活动 ·远程主机名或IP地址、 ·请求的日期和时间 ·请求成功与否的回答码 ·用户的远程登录名 4.1 用安全模式管理教育站点服务器 教育站点服务器管理包括为服务器增加新内容,检查服务器日志,安装新的外部程序以及改变服务器配置等等。这些管理可以在服务器控制台上完成,也可以通过网络在另一主机上来管理,无论从哪里来管,一定要确保其安全性,特别是以远程主机管理服务器时,安全更加重要。 ⑴.当选用远程主机来管理教育站点服务器时,应选用安全的方式来管理 ①.教育站点服务器主机应有很强的用户身份验证功能,要避免使用明文形式传输密码口令。 ②.教育站点服务器从某一特定主机进行管理,主机的验证不依赖于网络解析信息,如IP地址或DNS名等。 ③.在管理员主机与服务器之间的网络传输过程中,不应给入侵者提供访问服务器或内部网络的信息。 ⑵.如果允许,可使用活动存贮介质把教育站点的内容拷贝到教育站点服务器上。 ⑶ .当需要在另一台主机上检查服务器的日志文件时,要用安全方法把日志文件传送到那台主机上。 ⑷.当服务器的配置或站点内容改变后,要生成一个新的加密校验或其它的完整校验信息。 4.2 检查目录和文件有无意外的改变 网络环境中的文件系统包括了大量软件和数据文件,目录和文件的意外改变,特别是那些访问受到限制的目录和文件的意外改变,表明发生了某种入侵。入侵者为了隐藏他们在系统中的存在,通常用相同功能的程序替换系统的原有程序并修改日志文件,或在系统中生成新的文件。所以,利用检查系统的目录和文件的更改信息的方法,可尽早发现入侵。 ⑴. 为系统文件建立优先级和检查时间表。 ⑵. 对关键文件和目录一个权威参考数据,这些数据包括: ·在文件系统中的位置 ·可选择的路径 ·文件的内容、目录的入口 ·实际长度、如可能还应有分配的单元 ·文件和目录生成和最后修改的时间、日期 ·所属权和访问许可设定 ⑶. 按照建立的计划,用权威参考数据比较文件的属性和内容,查验目录和文件的完整性。 ⑷.查验丢失的文件或目录 ⑸.查验任何新的文件和目录 ⑹.调查已发现的任何意外改变的原因 4.3 检查系统和网络日志 日志文件记录了系统和网络中发生的异常和意外活动,入侵者经常在日志文件中留下了其活动的足迹,因此定期地检查系统和网络日志是发现入侵者的方法之一。日志文件依操作系统、运行的应用软件和配置的不同而不同,表1给出了典型的日志文件包含的信息。 表2 异常或意外的活动 日志类型 异常或意外活动 用户活动 ·连续登录失败 ·从一个意外的地点登录 ·在某一异常的时间登录 ·异常地企图改变用户标识 ·用户运行的异常进程 ·未经授权企图访问受限文件 进程活动 ·在意外的时间内运行的进程 ·过早中止的进程 ·异常的进程 系统活动 ·意外的关机·意外的再启动 网络连接 ·与或从异常的接点连接 ·连续的连接失败 ·在异常的时间进行的连接 ·意外的网络通信(如:与你的防火墙配置相反,或意外的通信量) 网络通讯监控 ·扫描各种服务的网络地址空间,表明企图识别你的网络和服务器主机 ·连续地半打开连接(表明企图IP欺骗或服务活动拒绝) ·成功地连接到网络主机的异常服务 ·起源于你的网络外部的事务,而其目标也是网络的外部(表明该通信不应该横穿你的网络) ·连续地连接某个特定服务,表明有人企图运用网络探测工具来对付你的网络系统 WEB服务器活动 ·连续企图滥用服务器(表明有人想破坏站点) ·引起拒绝服务的大量活动(注意远程主机名或
上一篇:惠普服务器单键灾难恢复解决方案
下一篇:并行向左 串行向右——构建磁盘网络世界
|
精品推荐