1. Чтобы проверить сообщения из журнала systemd для служб NetworkManager.service, sshd.service и auditd.service, введите следующее:
# journalctl -u NetworkManager.service
...
# journalctl -u sshd.service
...
# journalctl -u auditd.service
...
2.Пароли пользователей хранятся в файле /etc/shadow . Чтобы увидеть его права, введите команду ls-l /etc/shadow в командной строке. (Если файла не существует, необходимо запустить команду pwconv.)
Далее приведены соответствующие настройки:
# ls -l /etc/shadow
----------. 1 root root 1049 Feb
10 09:45 /etc/shadow
3. Чтобы определить срок действия пароля вашей учетной записи с помощью одной команды, введите chage -l user_name, например:
# chage -l chris
4. Чтобы начать аудит событий в файле /etc/shadow с помощью демона auditd, введите в командной строке следующее:
# auditctl -w /etc/shadow -p w
5.6.Чтобы проверить настройки аудита, введите auditctl -l в командной строке.
Чтобы создать отчет из демона auditd в файле /etc/shadow, введите ausearch -f /etc/shadow в командной строке. Чтобы отключить аудит этого файла, введите auditctl -W /etc/shadow -p w.
Чтобы установить пакет lemon, повредите файл /usr/bin/lemon и удалите пакет lemon, введя следующую команду:
# yum install -y lemon
# cp /etc/services /usr/bin/lemon
# rpm -V lemon
S.5....T.
/usr/bin/lemon
# yum erase lemon
Файл lemon отличается от оригинала по размеру файла (S), по md4sum ( 5) и времени его модификации ( Т ). В системе Ubuntu установите пакет с apt-get install lemon и введите команду debsums lemon, чтобы проверить его.
Если вы подозреваете, что ваша система атакована и были изменены важные двоичные файлы, их можно найти, введя в командной строке find directory-mtime -1 для каталогов /bin, /sbin, /usr/bin и /usr/sbin.
Чтобы установить и запустить chkrootkit и увидеть, был ли установлен руткит после вредоносной атаки, выберите свой дистрибутив и выполните следующие действия:
а) на Fedora или RHEL введите команду yum install chkrootkit;
б) на Ubuntu и в дистрибутивах на базе Debian введите команду sudo apt-get nstall chkrootkit;
в) чтобы запустить проверку, введите chkrootkit в командной строке и просмотрите результаты.
Чтобы найти файлы в любой точке системы с установленным правом UID или SGID, введите команду find / -perm /6000 -ls.
Чтобы установить пакет aide , выполните команду aide для инициализации базы данных aide, скопируйте базу данных в нужное место и выполните команду aide для проверки того, изменены ли какие-либо важные файлы в вашей системе:
Б
#
yum install aide
#
aide -i
#
cp /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
#
aide -C
Чтобы сделать вывод более интересным, можете установить пакет lemon и изменить его перед запуском команды aide -C, чтобы увидеть, как выглядит модифицированный двоичный файл.
*Повышенная безопасность с технологией SELinux*
*Продвинутые методы обеспечения безопасности*