Linux(ubuntu) Intrusion Detect Check List

Linux(ubuntu) Intrusion Detect Check List( 침입 탐지 체크 리스트)

1.last log, process, syslog에 의해 생성된 모든 로그 파일 및 보안 로그 조사
  -utmp
      - w, who or strings 명령어
      - /var/run
      - 현재 접속중인 사용자 정보
  -wtmp
      - last명령어
      - /var/log or /var/adm
      - 각 계정에 login, logout 정보
  -btmp
      -lastb or strings 명령어
      -/var/log or /var/adm
      - 로그인 실패 로그
  -sulog
      - editor 이용
      - /var/log or /var/adm
  -auth.log
      - editor 이용
      - /var/log
      - 로그인 정보
  -xferlog
      - editor 이용
      - /var/adm
      - ftp 파일 전송에 관련된 로그 기록
  -acct,
      -특정 명렁어를 누가 언제 사용했나.
      -lastcomm
  -pacct
      -주로 사용된 명령어 통계 분석
  -messages
      -editor 이용
      -/var/log or /var/adm
      - timestamp, hostname, programs name, message
      - su 실패에 대한 로그, 특정 데몬이 비활성화된 로그, 부팅시 발생된 에러등
  -/var/log/syslog 확인
  -history

2.setuid, setgid를 모두 찾아본다.
  -find / -user root -perm -4000 -xdev
  -find / -group kmem -perm -2000 -xdev

3.침입을 당한 시스템의 바이너리 파일이 변경되었는지 여부를 확인한다.
  -ls, ps, su, login, netstat, ifconfig, find, du, df, libc, sync
  -cksum(checksum)
  -timestamp
  -tripwire, md5

4.네트워크 모니터링 프로그램이 불법적으로 이용된 시스템이 있는지 확인한다.
  -sniffer 혹은 packet sniffer

5. cron과 at. 에 의해 실행되는 모든 파일을 조사한다.
  -crontabl -l
  -/etc/crontab
  -/etc/cron.*

6.불법적인 서비스가 없는지 확인한다.
  -/etc/inetd.conf
  -/etc/init.d/(ubuntu)
  -rlogin, rsh 코멘트 처리 확인

7./etc/passwd 파일이 변경여부 확인
 -uid 변경확인
 -root이외에 0으로 상승된 아이디가 없는지 확인한다.
 -기존에 있던 ID 이외에 다른 ID가 생성되었나 확인

8.네트워크 configuration 파일에 불법적인 내용이 들어가 있지 않은지 확인한다.
 -.rhost 파일 좀재 여부 및 소유자가 누구있지 확인한다.
 -/etc/hosts.equiv, /etc/hosts.lpd

9.시스템에 침입자가 사용할 만한 프로그램이나 히든 파일이 있는지 확인한다.
 -find / -name ".*" -print -xdev
 -find / -name ".. " -print -xdev

10.로컬 네트워크 상에 있는 모든 시스템을 함께 조사한다.

이 이외에도 체크해야 할 부분은 많다.
위에 있는건 기본이다.