| 活动类型 |
日志包含的信息 |
|
用户活动 |
·登记活动 ·用户身份改变 ·用户访问文件 ·授权信息 ·验证信息 |
|
处理活动 |
·用户运行的命令 ·运行进程信息,包括程序名、用户、开始和停止时间、以及执行参数 |
|
系统活动 |
·系统的启动和关闭 ·管理登录 |
|
网络连接 |
·试图与系统连接、已经与系统连接的细节(时间、地点、类型) ·从系统建立连接的细节 |
|
网络通讯监控 |
·所有网络通讯事务的记录 |
|
WEB服务活动 |
·远程主机名或IP地址、 ·请求的日期和时间 ·请求成功与否的回答码 ·用户的远程登录名 |
4.1 用安全模式管理教育站点服务器
教育站点服务器管理包括为服务器增加新内容,检查服务器日志,安装新的外部程序以及改变服务器配置等等。这些管理可以在服务器控制台上完成,也可以通过网络在另一主机上来管理,无论从哪里来管,一定要确保其安全性,特别是以远程主机管理服务器时,安全更加重要。
⑴.当选用远程主机来管理教育站点服务器时,应选用安全的方式来管理
①.教育站点服务器主机应有很强的用户身份验证功能,要避免使用明文形式传输密码口令。
②.教育站点服务器从某一特定主机进行管理,主机的验证不依赖于网络解析信息,如IP地址或DNS名等。
③.在管理员主机与服务器之间的网络传输过程中,不应给入侵者提供访问服务器或内部网络的信息。
⑵.如果允许,可使用活动存贮介质把教育站点的内容拷贝到教育站点服务器上。
⑶ .当需要在另一台主机上检查服务器的日志文件时,要用安全方法把日志文件传送到那台主机上。
⑷.当服务器的配置或站点内容改变后,要生成一个新的加密校验或其它的完整校验信息。
4.2 检查目录和文件有无意外的改变
网络环境中的文件系统包括了大量软件和数据文件,目录和文件的意外改变,特别是那些访问受到限制的目录和文件的意外改变,表明发生了某种入侵。入侵者为了隐藏他们在系统中的存在,通常用相同功能的程序替换系统的原有程序并修改日志文件,或在系统中生成新的文件。所以,利用检查系统的目录和文件的更改信息的方法,可尽早发现入侵。
⑴. 为系统文件建立优先级和检查时间表。
⑵. 对关键文件和目录一个权威参考数据,这些数据包括:
·在文件系统中的位置
·可选择的路径
·文件的内容、目录的入口
·实际长度、如可能还应有分配的单元
·文件和目录生成和最后修改的时间、日期
·所属权和访问许可设定
⑶. 按照建立的计划,用权威参考数据比较文件的属性和内容,查验目录和文件的完整性。
⑷.查验丢失的文件或目录
⑸.查验任何新的文件和目录
⑹.调查已发现的任何意外改变的原因
