Сайты Черновцов
18.10.2019
Надежные хэш-коды и сигнатуры, сгенерированные инструментом целостности файла, необходимо сохранить в средах только для чтения (например, на защищенной от записи дискете или компакт-диске с однократной записью). Сайты Черновцов должны регулярно (ежедневно или еженедельно) сверять хэш-коды своих критических исполняемых программ с этой надежной базой данных, и все изменения должны согласовываться с содержимым базы. Конечно, утилита проверки целостности срабатывает лучше всего, если вы применяете ее прежде, чем происходит нападение, то есть у вас есть надежная база хэшей для сравнения. Если же вы сравниваете хэш-код /bin/login черного хода с хэш-кодом того же самого черного хода от предыдущей недели, то не обнаружите никаких проблем.
Сравнивать нужно с доверенной базой - первоначальной инсталляцией системы или недавним обновлением. Поэтому следует выработать политику и продумать процедуры по выполнению утилит проверки целостности файлов на всех сайтах Черновцов. Чтобы помочь установить надежную базу, некоторые Web-сайты производителей (таких, как Sun Microsystems) предлагают хэш-коды доверенных версий своих программ, доступные в Internet. База данных «отпечатков» Solaris (Solaris Fingerprint DataBase - sfpDB) компании Sun является открытым ресурсом, содержащим хэш-коды критических исполняемых программ Solaris. Это фантастическая идея, и сей полезный ресурс весьма способствовал росту престижа Sun. Некоторые производители Linux также предлагают Web-страницы со списками МБб-хэшей для своих исполняемых программ.
Кроме того, нужно регулярно анализировать результат программы проверки целостности файлов на всех сайтах Черновцов и согласовывать все изменения в критических системных файлах. Почему модифицирована ваша программа /bin/login? Что-нибудь еще изменилось? Было ли это результатом работы законного системного патча или другого обновления, сделанного системным администратором после предыдущей проверки целостности? Если нет, то в вашей системе, возможно, установили RootKit.
yrles.ru
|
