Определение нарушений физической безопасности
Первое, что сразу замечается,- это то, что машина была перегружена. Поскольку Linux надежная и стабильная система, то перегружаться она должна только когда ВЫ ее выключаете для обновления ОС, манипуляций с компонентами ПК, или подобных случаях. Если ваша машина была перегружена без вас, включайте сигнал тревоги. Многие из способов, которыми ваша защита может быть сломана, требуют от взломщика перегрузки или выключения атакуемой машины.
Проверьте наличие следов взлома на корпусе и ближнем окружении. Хотя многие взломщики скрывают за собой всякие следы присутствия стирая системные журналы, все таки будет неплохо все осмотреть на предмет каких-либо нарушений.
Вот некоторые вещи, которые нужно проверить в ваших системных журналах:
- Короткие или незаконченные системные журналы.
- Системные журналы содержат странные временные метки.
- Системные журналы содержат неверные права доступа или права собственности.
- Присутствуют записи перегрузки или перезапуска сервисов.
- Отсутствуют системные журналы.
- Точка входа или регистрация su со странного места.
Мы обсудим содержание системных журналов позже.