Herdar servidor existente

9

Acabei de herdar 6 servidores da Web do servidor anterior que foi demitido, não sou um administrador de sistemas. Sou mais um DevOps.

Alguém poderia me indicar algum tipo de lista de verificação padrão que se seguiria ao herdar servidores existentes? Coisas que preciso saber são:

  1. Qual software está nos servidores
  2. Quais são as coisas padrão que devo fazer para verificar se estão seguras?
  3. o que está se conectando a eles e o que eles estão conectados também?
  4. O que mais devo saber?

Qualquer recomendação é bem-vinda, eu esperava que houvesse um tipo padrão de lista de verificação que seria seguido, mas não consegui encontrar nada.

Todos os servidores são Ubuntu (várias versões)

    
por user3408844 12.03.2014 / 05:05

3 respostas

24
  1. Para determinar qual software foi instalado, você pode revisar /var/log/dpkg.log No entanto, isso pode não ser um registro completo. Pode haver binários e código que foram compilados manualmente ou copiados diretamente para o sistema pré-compilado. Você poderia comparar uma instalação padrão da mesma versão do Ubuntu e digitar para o (s) servidor (es) e procurar quais arquivos são diferentes, mas isso pode ser tedioso. Uma solução de monitor de arquivo seria ideal (tripewire, inotifywatch, etc.) link

  2. Você precisa verificar TUDO no servidor. Cada conta de usuário em / etc / passwd , todas as contas de usuário do aplicativo (como usuários em Apache / PHP, contas de banco de dados, etc.) devem ser contabilizadas e você deve alterar todas as senhas. Você deve verificar quais serviços são iniciados na inicialização, qual é o nível de execução padrão e o que começa com ele e com outros runlevels. Eu usaria um scanner de vulnerabilidade e uma ferramenta de configuração de linha de base para auditar o estado atual. O Center for Internet Security oferece uma ferramenta gratuita de avaliação de configuração, mas pode ser limitada. Eles têm ferramentas mais avançadas para organizações membros ($). link O OpenVAS é um scanner FOSS, não diferente do Nessus, que pode ter recursos semelhantes. Há muitas outras coisas para verificar, mas esta resposta já está ficando um pouco longa ... (A revisão de código para webapps e páginas da Web é um bom exemplo).

  3. Você pode ver o estado das portas disponíveis para conexões com os servidores com uma variedade de sinalizadores para netstat . link Para identificar quem está se conectando ao servidor, você terá que recorrer às atividades mais sensuais do Internet Security, revisando os registros do sistema. A informação pode estar em qualquer um dos vários logs, dependendo de quais aplicativos e servidores estão no sistema. Você também pode ter alguma sorte com logs de rede externos, se existirem.

  4. Você tem um lote de acompanhamento para fazer. Você indicou que o administrador anterior foi disparado ; se você suspeitar de intenção maliciosa daquela pessoa (ou seja, eles podem ter deixado backdoors, armadilhas de boobie, bombas lógicas, etc.), é quase certo que será melhor reconstruir os servidores a partir de mídias limpas e reimplementar os webapps neles. Se esse administrador anterior tiver acesso e controle total a esse sistema e não tiver sido submetido a auditorias e overwatches diligentes, provavelmente você deve presumir que há backdoors.

Isso é baseado em uma suposição pessimista sobre o administrador anterior. Infelizmente, é assim que o cookie se desintegra para a segurança operacional da rede. Há muito mais a considerar, como eu disse ... muito mais do que pode ser coberto aqui. Esses pontos devem lhe dar algumas coisas para começar a fazer, de modo que você possa relatar à gerência que está fazendo algum progresso; mas para ser brutalmente honesto, se você não for um profissional de segurança e tiver motivos para suspeitar que essa pessoa tenha agido com malícia, provavelmente você está passando por cima da sua cabeça.

É uma resposta impopular ao gerenciamento porque requer muito esforço (o que significa mais $), mas a resposta geral é: em caso de dúvida, limpe e reconstrua a partir de fontes limpas . É assim que os sistemas de governo mais importantes funcionam com malware; Se um alerta surgir do AV, o sistema será separado, limpo e reconstruído. Espero que você tenha feito um backup porque os dados são GONE .

Boa sorte, e espero que isso tenha sido útil e não apenas deprimente.

    
por 12.03.2014 / 06:04
0

As páginas man são suas amigas:

 man <command> 

Confira esses comandos comumente usados e seu uso. Encontre mais ajuda nas man pages para cada ou em alguns casos executando

  <command> --help 

Software:

  • dpkg -l (lista de softwares instalados)
  • ps -ef | more (obtenha uma lista de processos em execução e faça uma pausa para leitura)

Segurança:

  • iptables (quais portas estão abertas e são necessárias)
  • verificar atualizações com o apt-get (os servidores estão atualizados?)
  • cat / etc / passwd (quem tem uma conta na caixa)
  • sshd (verifique se o sshd está em execução e quem pode efetuar login nele)

Conexões:

  • netstat (quais serviços estão escutando e em quais portas)

Boa sorte. É difícil herdar um lote de servidores sem que a pessoa os execute tendo a oportunidade de treiná-lo. Se o cara foi demitido é ainda mais preocupante porque eu suponho que havia uma razão e se eu também assumir que era relacionado ao trabalho, pode haver algumas configurações estranhas no lote.

    
por 12.03.2014 / 05:24
0
  1. quais aplicativos estão sendo executados: faça um "ps -ef" ou "ps -auxw" para obter a lista de processos. elimine tudo o que não esteja relacionado ao kernel, procure por coisas que estão sendo executadas, faça man pages em cada um para descobrir o que é. a maioria dos processos em execução que você pode ignorar com segurança porque eles não são aplicativos do usuário

  2. para segurança: faça um "netstat -pan" para ver quais portas estão abertas e feche as que não forem necessárias. Em outras palavras, as únicas portas que devem estar abertas são aquelas que correspondem aos serviços de rede fornecidos por esses servidores. Se o servidor é um servidor web, então obviamente ele precisa estar escutando na porta 80/443 / etc. Mas se o servidor estiver escutando na porta 21 e ninguém estiver usando, você deve desligar o processo que tem essa porta aberta.

  3. para conexões, novamente "netstat -pan" dá a resposta. Ele informa quais hosts estão conectados e quais portas eles estão conectados.

  4. examine os logs em / var / log para ter uma ideia do que o sistema está fazendo e para ver se há erros óbvios ou sinais vermelhos vindos de diferentes aplicativos.

por 12.03.2014 / 19:20

Tags