文件记录如果有的话,将各种活动记录到各种文件中的 UNIX 方式证实了“它正在做某事”。 当然,应该定期、手动或自动检查日志文件。 防火墙和其他访问控制手段往往会创建大量日志文件,因此诀窍是尝试仅记录异常活动。
10.5.5. 入侵检测
入侵检测系统旨在捕获可能已通过防火墙的内容。 它们可以被设计为捕捉正在进行的主动闯入尝试,或者在事后检测成功的闯入。 在后一种情况下,要防止任何损坏都为时已晚,但至少我们早早地意识到了问题。 有两种基本类型的 IDS:保护网络的和保护单个主机的。
对于基于主机的 IDS,这是通过监视文件系统更改的实用程序来完成的。 以某种方式改变了但不应该改变的系统文件是一个错误的赠品。 任何进入并获得 root 访问权限的人都可能会在某处对系统进行更改。 这通常是做的第一件事,要么他可以通过后门重新进入,要么对其他人发起攻击,在这种情况下,他必须更改或向系统添加文件。 有些系统带有 绊线 监控系统,记录在 Tripwire 开源项目网站上。