sslug-teknik team mailing list archive

[Henrik "St�" <henrik@xxxxxxx>]

In <OF587D107E.FB89AA45-ONC1256C36.003E542E@xxxxxxxxx> jesper.hald@xxxxxxxxx writes:

>Et lille spørgsmål angående monitorering af linux servere.

>Er der en mulighed for at overvåge om der er nogen der har fået
>uautoriseret adgang til en server.?

Hvordan vil du opdage det ? Der er flere metoder:
- scan logfiler for (mislykkede) login-forsøg
- brug en "File Integrity Scanner" a la tripwire eller AIDE
- monitor aktivitet på systemet med f.eks. accounting
  (logger alle kommandoer der udføres) og scan disse filer 
  for om der sker noget på usædvanlige tidpunkter o.lign.

Men grundlæggende er der jo ikke nogen 100% sikker måde at
opdage om nogen er kommet ind, så længe man baserer sig på
oplysninger der kommer fra det system, som skal overvåges
(indbruds-tyven kan jo så disable eller forvanske de data,
der bruges til overvågningen).

Men en kombination af remote syslog til et sikret system,
et netværks-IDS (Snort) og en integrity-checker (tripwire,
AIDE) vil nok være ret effektiv.

>Og sende en mail hvis der er nogen der får en sådan adgang..

Det kan man scripte sig ud af, når de andre ting er på plads.
-- 
Henrik Storner <henrik@xxxxxxx>