kiểm tra kỹlưỡng) có thể được ký chữký, và theo định kỳcác tập tin có thể được xác thực lạiđối với các chữký số đãđược lưu trữ. (Mà phảiđược giữ an toàn, chẳng hạn nhưghi offline.)
6. Thực thi các chính sách an toàn (C)
…
Kiểm toán, Kếtoán, và ghi nhớ:
Kiểm toán, kếtoán, và các bản ghi nhớcó thể được sử
dụngđểphát hiện các hành vi bất thường
Một sốloại thông tin có thể được ghi lại bao gồm các xác thực thất bại và thành công,đăng nhập, chạy các chương trình SUID hoặặc SGID, truy c, y ậậpp mạạng, các lg, ời ggọọi hệệ
thống, vv… Trong trường hợp cuối cùng gần nhưtất cả
các phím tắt và chuyểnđộngđiện tửcó thể đăng nhậpđể
phân tích trong tương lai. (Lưu ý rằng xét theo khía cạnh, tất cảcác chi tiếtđăng nhập cũng có thể được sửdụng
đểphân tích hiệu suất hệthống. Theo khía cạnh xuống là việc ghi nhớcũngảnh hưởng đến hiệu suất hệthống (negatively!), và do đó một hiệu ứng Heisenberg áp dụng.)
"The Cuckoo's Egg" kểvềcâu chuyện cách mà Cliff Stoll phát hiện một break UNIXđầu tiên khi ông nhận thấy bất thường trong các bản ghi kếtoán trên của một hệthống máy tínhđược sửdụng bởi các nhà nghiên cứu vật lý. 211
6. Thực thi các chính sách an toàn (C)
…
Tripwire FileSystem (New Sidebar):
Tripwire filesystem theo dõi các thayđổi tập tin và thưmục, giả định rằng hầu hết các sựxâm nhập cuối cùng dẫnđến một sốthayđổi tập tin không mong muốn hoặc bất ngờ.
Các tập tin tw.config chỉra những thưmụcđược theo dõi, cũng nhưnhững thuộc tính của mỗi tập tinđược ghi lại. (Ví
ể ể
g g p g (
dụngười ta có thểchọnđểgiám sát sựcho phép và thay
đổi nội dung, nhưng không phải lo lắng vềviệcđọc các lần truy cập.)
Khi chạyđầu tiên, các thuộc tínhđược lựa chọn cho tất cả
các tập tin theo dõiđược ghi lại trong một cơsởdữliệu. Mã bămđược sửdụngđểgiám sát các thayđổi nội dung tập tin
Các chạy tiếp theo báo cáo bất kỳthayđổi các dữliệu ghi lại, bao gồm cảthayđổi mã băm, và bất kỳ liệu ghi lại, bao gồm cảthayđổi mã băm, và bất kỳ tập tin mới được tạo ra hoặc bịlỗi trong các thư
mục theo dõi. 212
6. Thực thi các chính sách an toàn (C)
Tripwire FileSystem (New Sidebar):
(c) ... ...
Đểbảođảm an toànđầyđủ, cũng cần bảo vệchínhtripwire filesystem, quan trọng nhất là cơsởdữliệu tripwire filesystem, quan trọng nhất là cơsởdữliệu của các thuộc tính tập tinđã ghi.Điều này có thể được lưu trên một sốvịtrí bên ngoài hoặc chỉviết được lưu trên một sốvịtrí bên ngoài hoặc chỉviết, nhưng làm cho nó khó thay đổi cơsởdữliệu khi những thayđổi hợp phápđược thực hiện.
Khó có thểtheo dõi các tập tin có nghĩa vụphảithayđổi, chẳng hạn như các tập tin đăng nhập. thayđổi, chẳng hạn như các tập tin đăng nhập. Tripwire tốt nhất có thểthực hiện trong trường hợp này là xem các bất bình thường, chẳng hạn như một tập tinđăng nhập có kích thước co lại.