ドキュメントUNIXでは、あらゆるアクティビティをあらゆるファイルに記録するというやり方が、むしろ「何かが行われている」という確証を与えています。もちろん、ログファイルは手動でも自動でも定期的にチェックする必要があります。ファイアウォールなどのアクセス制御手段は大量のログファイルを作成する傾向があるため、異常なアクティビティのみを記録するようにするのが賢明です。
10.5.5。 侵入検知
侵入検知システムは、ファイアウォールをすり抜けた可能性のあるものを捕捉するように設計されています。侵入の試みを進行中に捕捉するように設計することも、侵入が成功したことを事後に検知するように設計することもできます。後者の場合、被害を防ぐには手遅れですが、少なくとも問題を早期に把握することができます。侵入検知システム(IDS)には、ネットワークを保護するものと個々のホストを保護するものの2つの基本的なタイプがあります。
ホストベースのIDSでは、ファイルシステムの変更を監視するユーティリティを用いてこれを行います。変更されるべきではないシステムファイルが何らかの形で変更されている場合、それは何かがおかしいという決定的な証拠です。システムに入り込み、ルートアクセスを取得した者は、おそらくシステムのどこかに変更を加えるでしょう。これは通常、バックドアから侵入するため、あるいは他の誰かを攻撃するために最初に行われることです。後者の場合、システム上のファイルを変更または追加する必要があります。一部のシステムには、 トリップワイヤー 監視システムについては、Tripwire Open Source Project の Web サイトで説明されています。