验证资源使用情况(内存,CPU,I/O,磁盘空间)
资源的异常使用通常是一个有问题的指标。你有性能瓶颈或有人爆炸安全漏洞。因此,我们在服务器审计期间看到的第一件事是CPU,内存和磁盘I/O趋势。您需要一个监视工具,例如sysstat或配置上方。如果我们发现异常,我们会识别导致瓶颈的服务并识别导致瓶颈的用户或程序。您应该检查的统计信息包括:CPU使用率,内存使用情况,磁盘I/O,磁盘空间等。
查找异常日志文件条目(登录,连接,错误等)
服务器日志包含密钥信息。您的检查点应该是检查所有主日志文件并查找异常条目。您是否看到用户经常失败的连接?也许这是一个试图通过蛮力强制密码的黑客。您是否看到用户脚本的内存限制错误?您可能有安全漏洞来发送垃圾邮件。你看到频繁的邮件退货吗?您的IP可能会被列入垃圾邮件列表的黑名单。总之,您应该使用自动脚本或错误消息验证这些记录:登录和身份验证记录,系统记录,登录记录,Cron记录,HTTP /邮件记录(或任何生产服务)。
验证系统配置,程序文件和配置文件中的更改
系统软件漏洞允许攻击者以管理员权限访问其服务器。他们要做的第一件事是用可用于发起更多攻击的文件的修改版本替换系统文件。因此,最好验证您的程序或配置文件最近是否已更改。如果您发现未经授权的更改,请快速调查您可以通过Lynis等自动化工具找到以下位置中文件的更改:/bin /,/sbin /,/etc /,/boot /,/dev /。
扫描服务器以查找恶意软件和rootkit
理想情况下,您必须配置服务器,以便防病毒软件自动更新并重新扫描服务器。第二个最佳选择是在验证服务器时执行扫描。执行此操作时,请检查市场上是否有新的数据库源,如果是,请将它们添加到数据库更新列表中。您必须至少运行以下测试:反恶意软件扫描(LMD,CXS等),防病毒扫描(例如,ClamD)
Rootkit扫描(例如,RkHunter,ChkRootKit)。如果您发现感染,仅删除恶意软件是不够的,您必须首先了解恶意软件如何进入服务器并更正漏洞。
请参阅系统软件和过时的用户软件
软件供应商一直在发现和修复漏洞。理想情况下,您的服务器应配置为自动应用这些更新或通知您新的更新。如果这些条件都不可能,则需要在服务器验证期间手动更新。内核等系统软件应具有最高优先级。
重新评估服务,防火墙和系统配置
配置良好的防火墙和网络将阻止几乎所有连接级别的攻击。但随着新攻击的发展,您必须更新防火墙和网络规则以对其进行免疫。在服务器检查期间,请验证防火墙和网络规则是否足以避免新威胁(例如DNS缓存中毒)。检查服务器的性能历史记录并调整服务设置以避免瓶颈也是一个好主意。
检查系统硬件和网络状态
硬盘崩溃是服务器停机的常见原因。在磁盘发生故障之前,它通常会在系统注册表中记录大量错误消息。因此,请验证系统注册表中的HDD,RAID,网络或内存的错误,并调查是否存在任何问题。
验证备份和故障转移是否正常工作
备份是您的服务器锁定保证。但是你怎么知道备份是否可靠?您是否正在制作所有数据的备份副本?文件损坏了吗?
除非你尝试,否则你不知道它是否有效。服务器检查是查看备份的好时机。在检查期间,您不仅要测试是否所有备份副本都已完成,还要测试文件的完整性,确认有足够的空间来增加备份,等等。如果您的业务需要更改,则应增加或减少备份频率,这是重新考虑的好时机。
查找未取消的过期用户帐户或管理员权限。
不安全的用户帐户和管理员帐户是黑客破坏服务器的常见方式。验证服务器时,必须验证这些登录和旧用户的访问权限:SSH登录,电子邮件登录,IP白名单,FTP登录等。解决此问题的一个好方法是查看/etc/passwd文件并系统地删除不应出现在服务器上的所有用户。
执行紧急警报和响应程序
如果您的服务器出现故障或被黑客攻击,您可能没有时间考虑它。您必须尽快得到通知,并在客户注意之前将您的业务重新上线。这就是您需要强大的应急响应流程的原因。它包括每周7天,每天24小时监控,警报通知,专家紧急访问,使服务器重新联机的先前考虑过程等。验证服务器也是测试此过程并进行必要更改的好时机。
