doc-linux-hr 20000416.1 / usr / share / doc / HOWTO / hr-html / Sigurnost-KAKO-10.html

This file is indexed.

/usr/share/doc/HOWTO/hr-html/Sigurnost-KAKO-10.html is in doc-linux-hr 20000416.1.

This file is owned by root:root, with mode 0o644.

The actual contents of the file can be viewed below. 

  1
  2
  3
  4
  5
  6
  7
  8
  9
 10
 11
 12
 13
 14
 15
 16
 17
 18
 19
 20
 21
 22
 23
 24
 25
 26
 27
 28
 29
 30
 31
 32
 33
 34
 35
 36
 37
 38
 39
 40
 41
 42
 43
 44
 45
 46
 47
 48
 49
 50
 51
 52
 53
 54
 55
 56
 57
 58
 59
 60
 61
 62
 63
 64
 65
 66
 67
 68
 69
 70
 71
 72
 73
 74
 75
 76
 77
 78
 79
 80
 81
 82
 83
 84
 85
 86
 87
 88
 89
 90
 91
 92
 93
 94
 95
 96
 97
 98
 99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2 Final//EN">
<HTML>
<HEAD>
 <META NAME="GENERATOR" CONTENT="SGML-Tools 1.0.11">
 <TITLE>Sigurnost Linuxa KAKO: ©to uèiniti tokom i nakon provale</TITLE>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=ISO-8859-2">
 <LINK HREF="Sigurnost-KAKO-11.html" REL=next>
 <LINK HREF="Sigurnost-KAKO-9.html" REL=previous>
 <LINK HREF="Sigurnost-KAKO.html#toc10" REL=contents>
</HEAD>
<BODY>
<A HREF="Sigurnost-KAKO-11.html">Sljedeæi dio</A>
<A HREF="Sigurnost-KAKO-9.html">Prethodni dio</A>
<A HREF="Sigurnost-KAKO.html#toc10">Sadr¾aj</A>
<HR>
<H1><A NAME="s10">10. ©to uèiniti tokom i nakon provale</A></H1>

<P>
<P>Dakle, jeste li slijedili neke od ovih (ili drugih) savjeta i otkrili
provalu? Najprije trebate ostati stalo¾eni. Panièni postupci mogu uzrokovati
vi¹e ¹tete od napadaèa.
<P>
<H2><A NAME="ss10.1">10.1 Naru¹avanje sigurnosti upravo se odvija</A>
</H2>

<P>
<P>Uoèavanje naru¹avanja sigurnosti koje se upravo odvija mo¾e biti napeto.
Va¹a reakcija imat æe velike posljedice.
<P>Ako je naru¹avanje kojeg gledate fizièko, vjerojatno ste uoèili nekoga tko
je provalio u va¹ dom, ured ili laboratorij. Trebate obavijestiti lokalne
vlasti. U laboratoriju ste mo¾da vidjeli kako netko poku¹ava otvoriti
kuæi¹te ili resetirati stroj. Ovisno o va¹em autoritetu i postupcima, mo¾ete
ih zamoliti da prestanu ili pozvati svoje lokalno osiguranje.
<P>Ako ste uoèili lokalnog korisnika koji poku¹ava naru¹iti va¹u sigurnost,
prvo trebate potvrditi da je on stvarno onaj za kojeg mislite da je on.
Provjerite odakle se logirao. Je li to raèunalo s kojeg se i normalno
logiraju? Ne? Onda ga kontaktirajte neelektronskim sredstvima. Na primjer,
pozovite ih telefonom ili od¹etajte do njihovog ureda/doma i razgovarajte s
njima. Ako ka¾u da su logirani, mo¾ete ih zatra¾iti da objasne ¹to su radili
ili da to prestanu raditi. Ako nisu i nemaju blage veze o èemu govorite,
taj dogaðaj vjerojatno zahtjeva dodatnu istragu. Pazite na takve dogaðaje i
skupite puno informacija prije nego nekoga optu¾ite.
<P>Ako ste otkrili mre¾nom naru¹avanje, najprije (ako mo¾ete) iskljuèite mre¾u.
Ako su spojeni modemom, iskljuèite kabel modema, a ako su spojeni Ethernetom,
iskljuèite kabel Etherneta. To æe ih sprijeèiti u daljnjem nano¹enju ¹tete,
a vjerojatno æe to shvatiti kao problem u mre¾i, a ne razotkrivanje.
<P>Ako ne mo¾ete iskljuèiti mre¾u (imate vrlo zaposlen poslu¾itelj ili nemate fizièku
kontrolu nad svojim raèunalima), slijedeæi najbolji korak je onemoguæavanje
veza s uljezovog raèunala pomoæu tcp_wrappera ili ipfwadma.
<P>Ako ne mo¾ete iskljuèiti sve ljude sa stroja na kojem je uljez, morat æete
se zadovoljiti iskljuèivanjem korisnièkog raèuna. Primjetite da to nije
jednostavno. Morate paziti na <CODE>.rhosts</CODE> datoteke, FTP pristup i hrpu
stra¾njih vrata).
<P>Nakon ¹to ste uèinili ne¹to od navedenog (iskljuèili mre¾u, onemoguæili
pristup sa njegovog raèunala i/ili iskljuèili njegov raèun), morate mu ubiti
sve procese i odlogirati ih.
<P>Slijedeæih nekoliko minuta morate pa¾ljivo gledati na svoj stroj jer æe
napadaè poku¹ati uæi ponovno. Mo¾da æe koristiti drugi raèun i/ili mre¾nu
adresu.
<P>
<H2><A NAME="ss10.2">10.2 Naru¹avanje sigurnosti veæ se dogodilo</A>
</H2>

<P>
<P>Uoèili ste naru¹avanje koje se veæ dogodilo ili ste ga uoèili i iskljuèili
(jo¹ bolje) napadaèa iz sustava. ©to sad?
<P>
<H4><A NAME="ss10.2.1">10.2.1 Zatvaranje rupe</A>
</H4>

<P>
<P>Ako mo¾ete otkriti naèin na koji je napadaè u¹ao u va¹ sustav, poku¹ajte
zatvoriti rupu. Na primjer, mo¾da vidite nekoliko zapisa o FTP-u ba¹ prije
nego ¹to se korisnik logirao. Iskljuèite FTP uslugu i provjerite da li
postoji novija verzija ili neka od listi zna rje¹enje.
<P>Provjerite sve svoje log datoteke i pogledajte da li na va¹im listama i
stranicama o sigurnosti ima novih rupa koje mo¾ete ispraviti. Calderine
sigurnosne ispravke mo¾ete naæi na 
<A HREF="http://www.caldera.com/tech-ref/security/">http://www.caldera.com/tech-ref/security/</A>. Red Hat jo¹ nije odvojio
sigurnosne ispravke od ispravaka gre¹aka, no ispravci za njihovu
distribuciju nalaze se na 
<A HREF="http://www.redhat.com/errata">http://www.redhat.com/errata</A>. Vrlo je
vjerojatno da æe, ako je jedna tvrtka izdala sigurnosnu ispravku, to ubrzo
uèiniti i ostale.
<P>Ako ne izbacite napadaèa, vjerojatno æe se vratiti. Ne samo na va¹e
raèunalo, nego negdje na va¹u mre¾u. Ako je pokrenuo snifer paketa, velike
su ¹anse da ima pristup drugim lokalnim strojevima.
<P>
<H4><A NAME="ss10.2.2">10.2.2 Procjenjivanje ¹tete</A>
</H4>

<P>
<P>Najprije procjenite ¹tetu. ©to je naru¹eno? Ako imate provjeru cjelovitosti
kao ¹to je Tripwire, pokrenite ju i ona æe vam reæi. Ako ne, morat æete sami
pogledati sve svoje najva¾nije podatke.
<P>Po¹to je Linux sustave sve lak¹e i lak¹e instalirati, mo¾ete svoje
konfiguracijske snimiti na sigurno, obrisati svoj disk/ove i ponovno
instalirati, a zatim vratiti korisnièke datoteke iz backupa i
konfiguracijske datoteke. To æe osigurati nov, èist sustav. Ako morate
spa¹avati datoteke s kompromitiranog sustava, budite posebno pa¾ljivi s
programima koje vratite jer to mogu biti trojanski konji koje je postavio
uljez.
<P>
<H4><A NAME="ss10.2.3">10.2.3 Backup, backup, backup!</A>
</H4>

<P>
<P>Redovit backup dar je s neba za sigurnosne probleme. Ako je va¹ sustav
kompromitiran, potrebne podatke mo¾ete vratiti s backupa. Naravno, neki
podaci su vrijedni i napadaèu, i on æe ga ne samo uni¹titi, veæ i ukrasti i
imati svoje kopije, ali barem æete jo¹ uvijek imati podatke.
<P>Provjerite nekoliko pro¹lih backupa prije nego vratite datoteku s kojom
je petljano. Uljez je mo¾da kompromitirao va¹e datoteke prije puno vremena,
a vi ste mogli napraviti mnogo uspje¹nih backupa kompromitirane
datoteke!
<P>Narvno, mno¹tvo je sigurnosnih briga s backupima. Potrudite se da su na
sigurnom mjestu. Budite svjesni tko im ima pristup. (Ako napadaè mo¾e doæi
do va¹ih backupa, ima pristup do svih va¹ih podataka, a da vi toga
niste ni svjesni.)
<P>
<H4><A NAME="ss10.2.4">10.2.4 Pronala¾enje uljeza</A>
</H4>

<P>
<P>U redu, izbacili ste uljeza i sredili sustav, ali jo¹ niste gotovi. Iako æe
vjerojatno veæina uljeza ostati neuhvaæena, trebate prijaviti napad.
<P>Napad prijavite administratoru sustava s kojeg je napadaè napao va¹ sustav.
Mo¾ete ga naæi pomoæu <CODE>whois</CODE> ili internicove baze podataka. Mo¾ete mu
poslati e-mail sa svim primjenjivim zapisima u logu i datumima i vremenima.
Ako ste uoèili jo¹ ne¹to posebno za svog uljeza, spomenite i to. Nakon ¹to
ste poslali e-mail, trebali biste ga (ako ste toliko zapeli) i nazvati
telefonom. Ako taj administrator uoèi va¹eg napadaèa, onda on mo¾e
kontaktirati administratora sustava odakle je do¹ao i tako dalje.
<P>Dobri hakeri èesto koriste mnogo posrednih sustava. Neki (ili mnogi) od njih
mo¾da ni ne znaju da su napadnuti. Poku¹ati doæi do krekerovog poèetnog
sustava mo¾e biti te¹ko. Ljubaznim pona¹anjem prema administratorima od njih
mo¾ete dobiti puno pomoæi.
<P>Takoðer biste trebali obavijestiti sigurnosne organizacije kojih ste dio
(CERT ili slièno).
<P>
<HR>
<A HREF="Sigurnost-KAKO-11.html">Sljedeæi dio</A>
<A HREF="Sigurnost-KAKO-9.html">Prethodni dio</A>
<A HREF="Sigurnost-KAKO.html#toc10">Sadr¾aj</A>
</BODY>
</HTML>

APT Browse - Built by Thomas Orozco.