Fysieke beveiligingsgevaren opsporen Het eerste waar je altijd op moet letten is of je machine opnieuw is
opgestart. Omdat Linux een robuust en stabiel besturingssysteem is, zijn de
enige keren dat het opnieuw opgestart moet worden, de keren dat jij
het buiten gebruik stelt voor upgrades van het besturingssysteem, wisseling
van hardware of iets dergelijks. Als je machine opnieuw is opgestart buiten
jouw medeweten, kan dat een teken zijn dat een indringer je systeem in gevaar
brengt. Veel van de manieren waarop je machine in gevaar kan worden gebracht,
vereisen dat de indringer je machine opnieuw opstart of hem uitschakelt. Controleer op tekenen van geknoei met de kast of de omgeving van de
computer. Hoewel veel indringers hun sporen in de logbestanden verwijderen,
is het een goed idee om ze te controleren en enige discrepantie op te merken. Het is ook een goed idee om loggegevens op een veilige plaats op te
slaan, bijvoorbeeld op een toegewijde log server op je goed beschermde
netwerk. Als een machine eenmaal te maken heeft gehad met een aanval, zijn
loggegevens van weinig nut meer, omdat ze hoogstwaarschijnlijk ook zijn
aangepast door de indringer. De syslog daemon kan zo worden ingesteld dat hij loggegevens automatisch
naar een centrale syslog server stuurt, maar dit wordt kenmerkend
ongecodeerd gedaan, zodat een indringer de mogelijkheid heeft om de
gegevens te bekijken terwijl ze worden verzonden. Dit kan informatie
over je netwerk blootgeven, waarvan het niet de bedoeling is dat het
openbaar wordt. Er zijn syslog daemons beschikbaar die de gegevens
coderen terwijl ze worden verzonden. Wees je ook bewust dat het namaken van syslogberichten gemakkelijk
is -- met een speciaal programma dat reeds gepubliceerd is. Syslog
accepteert zelfs net log entries die het doen voorkomen alsof ze van de
lokale host afkomstig zijn, zonder enige aanwijzing over hun ware herkomst. Enkele dingen die je moet controleren in je logs:
korte of onvolledige logs logs die vreemde tijdstippen bevatten logs met verkeerde permissies of eigendomsrecht registraties van het opnieuw opstarten van het systeem of diensten ontbrekende logs su entries of logins vanaf vreemde plaatsen We zullen systeemloggegevens in
deze HOWTO bespreken.