Dokumenty<Poprzedni | Spis treści | Następne>
W każdym razie sposób UNIXa rejestrowania wszelkiego rodzaju działań we wszelkiego rodzaju plikach potwierdza, że „coś robi”. Oczywiście pliki dziennika należy sprawdzać regularnie, ręcznie lub automatycznie. Zapory ogniowe i inne środki kontroli dostępu zwykle tworzą ogromne ilości plików dziennika, więc cały trik polega na tym, aby próbować rejestrować tylko nietypowe działania.
10.5.5. Wykrywanie włamań
Systemy wykrywania włamań są zaprojektowane tak, aby wychwytywać to, co mogło przedostać się przez zaporę ogniową. Można je zaprojektować tak, aby wychwytywały trwającą próbę włamania lub wykrywały udane włamanie już po fakcie. W tym drugim przypadku jest już za późno, aby zapobiec jakimkolwiek szkodom, ale przynajmniej mamy wczesną świadomość problemu. Istnieją dwa podstawowe typy IDS: te chroniące sieci i te chroniące poszczególne hosty.
W przypadku IDS opartych na hoście odbywa się to za pomocą narzędzi monitorujących system plików pod kątem zmian. Pliki systemowe, które w jakiś sposób uległy zmianie, ale nie powinny się zmieniać, świadczą o tym, że coś jest nie tak. Każdy, kto uzyska dostęp do konta root i uzyska dostęp do konta root, prawdopodobnie dokona gdzieś zmian w systemie. Zwykle jest to pierwsza czynność, którą należy wykonać, aby mógł wrócić przez tylne drzwi lub przeprowadzić atak na inną osobę. W takim przypadku musi zmienić lub dodać pliki do systemu. Niektóre systemy są wyposażone w tripwire systemu monitorowania, co jest udokumentowane na stronie internetowej Tripwire Open Source Project.