既存のサーバーを継承

私は解雇された以前のサーバーの人から6つのWebサーバーを継承しました。私はシステム管理者ではなく、私はDevOpsです。

既存のサーバーを継承する際に従う標準的なチェックリストを誰かに教えてもらえますか？私が知る必要があるのは：

1. サーバー上にあるソフトウェア
2. それらが安全であることを確認するために私がすべき標準的なことは何ですか？
3. それらに何が接続され、何も接続されていますか？
4. 他に何を知っておくべきですか？

どんなアドバイスでも大歓迎です。最初にフォローする標準的なチェックリストがあることを望んでいましたが、何も見つかりませんでした。

すべてのサーバーはUbuntu（さまざまなバージョン）

1. インストールされているソフトウェアを確認するには、/ var / log / dpkg.logを確認します。 ただし、これは完全な記録ではない場合があります。手動でコンパイルされた、またはプリコンパイルされたシステムに直接コピーされたバイナリとコードが存在する場合があります。あなたは可能性があり、デフォルトのファイルが異なっている何のためのサーバ（複数可）と見た目に同じUbuntuのバージョンと種類のインストールを比較するが、それは静かに退屈することができます。ファイルモニターソリューションが理想的です（tripewire、inotifywatchなど） http://linuxcommando.blogspot.com/2008/08/how-to-show-apt-log-history.html

2. サーバーですべてを確認する必要があります。/ etc / passwdのすべてのユーザーアカウント、すべてのアプリケーションユーザーアカウント（Apache / PHPのユーザー、データベースアカウントなど）が考慮され、すべてのパスワードを変更する必要があります。起動時にどのサービスが起動されるか、デフォルトのランレベルは何か、それと他のランレベルで何が始まるかを確認する必要があります。脆弱性スキャナーとベースライン構成ツールを使用して、現在の状態を監査します。Center for Internet Securityは無料の構成評価ツールを提供していますが、制限される場合があります。メンバー組織（$）向けのより高度なツールがあります。 http://benchmarks.cisecurity.org/ OpenVASはFOSSスキャナーであり、Nessusとは異なり、同様の機能を備えている場合があります。確認すべきことは他にもたくさんありますが、この回答はすでに少し長くなっています...（webappsとwebページのコードレビューは良い例です）。

3. netstatのさまざまなフラグを使用して、サーバーへの接続に使用できるポートの状態を確認できます。 http://www.thegeekstuff.com/2010/03/netstat-command-examples/サーバーに接続しているユーザー を特定するには、システムログを確認して、最もセクシーなインターネットセキュリティアクティビティに頼る必要があります。情報は、システム上にあるアプリケーションとサーバーに応じて、多数のログのいずれかに含まれる可能性があります。また、外部ネットワークログが存在する場合は、それで運が良い場合もあります。

4. あなたにはやるべきことがたくさんあります。あなたは前の管理者が解雇されたことを示しました。その人物からの悪意があると思われる場合（つまり、バックドア、ブービートラップ、論理爆弾などが残されている可能性があります）、クリーンなメディアからサーバーを再構築し、Webアプリケーションを再実装する方がよいでしょう。この以前の管理者がこれらのシステムへの完全なアクセス権と制御権を持っていて、入念な監査と監視を受けていなかった場合、おそらくバックドアがあると想定する必要があります。

これは、前の管理者に関する悲観的な仮定に基づいています。残念ながら、これはCookieが運用ネットワークのセキュリティを低下させる方法です。言ったように、考慮すべきことは他にもたくさんあります... これらのポイントは、あなたがある程度の進歩を遂げていることを経営陣に報告できるように、始めるためのいくつかのことをあなたに与えるはずです。しかし、正直に言うと、セキュリティの専門家ではなく、この人物が悪意を持って行動したのではないかと疑う理由がある場合は、おそらく頭の中にいるでしょう。

それは多くの労力を必要とするため（つまり、より多くの$を意味する）、経営陣には人気のない回答ですが、一般的なセキュリティ志向の回答は、疑わしい場合は、クリーンなソースから消去して再構築します。これが最も重要な政府システムがマルウェアと連携する方法です。AVからアラートが発生した場合、システムは分離され、ワイプされて、再構築されます。希望はあなたがデータであることをcuzのバックアップを作成したGONE。

幸運を祈っています。これが役に立っただけでなく、憂鬱になっていたことを願っています。

manページはあなたの友達です：

 man <command> 

これらの一般的に使用されるコマンドとその使用法を確認してください。次のコマンドを実行して、それぞれまたはいくつかのケースのmanページでさらにヘルプを探します。

  <command> --help 

ソフトウェア：

• dpkg -l（インストールされているソフトウェアのリスト）
• ps -ef | more（実行中のプロセスのリストを取得し、読み取りのために一時停止します）

セキュリティ：

• iptables（開いているポートと必要なポート）
• apt-getで更新を確認します（サーバーは最新ですか？）
• cat / etc / passwd（ボックスにアカウントを持っている人）
• sshd（sshdが実行されているかどうか、誰がログインできるかを確認してください）

接続：

• netstat（どのサービスがどのポートでリッスンしているか）

幸運を。サーバーを実行している人があなたを訓練する機会を持たないサーバーのバッチを継承するのは難しいです。男が解雇された場合、理由があると思いますし、仕事に関連していると思い込んでいると、バッチに奇妙な設定が含まれている可能性があるため、さらに厄介です。

1. 実行中のアプリケーション：「ps -ef」または「ps -auxw」を実行して、プロセスリストを取得します。カーネルに関係のないものはすべて取り除き、実行中のものを探し、それぞれについてmanページを作成して、それが何であるかを理解します。ユーザーアプリケーションではないため、安全に無視できるほとんどの実行中のプロセス

2. セキュリティのため： "netstat -pan"を実行して開いているポートを確認し、不要なポートを閉じます。つまり、開く必要があるポートは、これらのサーバーが提供するネットワークサービスに対応するポートだけです。サーバーがWebサーバーの場合、明らかにポート80/443 / etcでリッスンする必要があります。ただし、サーバーがポート21でリッスンしていて、だれもそれを使用していない場合は、そのポートを開いているプロセスをオフにする必要があります。

3. 接続の場合も、「netstat -pan」で答えが得られます。接続されているホストと、それらが接続されているポートがわかります。

4. / var / log内のログを調べて、システムが何をしているかを把握し、さまざまなアプリケーションからの明らかなエラーや赤旗がないかどうかを確認します。