Сначала надо установить демон защищенной оболочки. Рекомендуем один из которые можно загрузить с или
sh.org/. После установки и тестирования демона защищенной оболочки лучше всего вообще отключить демоны FTP и telnet.
Распространенная атака типа отказа в обслуживании заключается в попытке заполнить жесткий диск мусором, обычно временными файлами, чтобы вызвать аварию сервера. Чтобы избежать этого, следует разместить /tmp/ и /var/ на разных разделах, чтобы при переполнении /tmp/ оставалось пространство в разделе /var/ и базовые службы могли продолжить работу.
Мониторинг системы
Лучше всего следить за состоянием системы по журналам сервера. Заметив что-либо необычное, надо тщательно изучить запись в журнале и выяснить причину.
Контроль за файлами журналов можно отчасти автоматизировать с помощью сценариев, которые их анализируют и выкидывают несодержательные записи. В главе 20 мы создали простой сценарий командной строки, который выполняет такую работу. Этот сценарий mail_stats. php можно модифицировать так, чтобы он анализировал и другие файлы, создаваемые нашими приложениями.
Необходимо присмотреться и к другим инструментам мониторинга, например Tripwire. Это приложение, способствующее сохранению целости важных системных файлов и каталогов путем обнаружения всех производимых с ними изменений. Можно настроить Tripwire так, чтобы получать по электронной почте уведомление при изменении одного из этих файлов. Альтернативный вариант - настроить задание с г on для проверки целостности всех файлов, за которыми следит Tripwire. Кроме того, Tripwire помогает ликвидировать последствия проникновения, поскольку он следит за всеми файлами, которые модифицирует нарушитель, и мы знаем, какие файлы надо восстановить, чтобы исправить систему. Некоторые ресурсы, относящиеся к Tripwire, перечислены в разделе «Ресурсы и материалы для дальнейшего изучения» в конце данной главы.
Отслеживание новых уязвимостей
Одна из проблем обеспечения безопасности обусловлена тем, что взломщики постоянно придумывают новые способы проникновения и ищут новые уязвимые места в программном обеспечении, которые позволят им это сделать. Это значит, что политика безопасности должна включать в себя контроль почтовых списков рассылки, сообщающих об этих новых слабых местах и способах их исправления. Два таких полезных списка - Bugtraq и Packet Storm.
Важно быстро реагировать на появление новых уязвимостей, о которых сообщается в этих списках. Сначала надо проверить, требует ли наша система обновления или установки заплатки (patch), и действовать соответствующим образом. Обычно при извещении о выявленном слабом месте разработчик программного обеспечения одновременно рассылает заплатку.
