กิจกรรม monitor ว่าอุปกรณ์ทำงานควบถ้วนดีหรือไม่
เป็นกิจกรรม check ตามวงจรเดมมิ่ง เพราะ plan กับ do ทำแล้ว
แต่การตรวจสอบต้องทำทุกวัน เพราะเป็นงานบริการ
หากพบปัญหาก็ต้องเกิด action
ถ้าจะให้ดี do ก็ต้องมี innovation ควบคู่ไปด้วย
เพื่อพัฒนาให้ระบบมีความปลอดภัย หรือรองรับความเสี่ยง
—
15 ต.ค.57 วันนี้ .. เพื่อนร่วมงาน แจ้งว่า มีการเข้าระบบมากผิดปกติ
เมื่อตรวจ log จาก firewall
ลองตรวจดูก็เห็นว่ามีการเข้ามามากมายมหาศาลจริง
แต่ทั้งหมดจะถูกปฏิเสธไปแล้ว ไม่ว่าจะเข้ามาผ่านบริการใด
ส่วนที่อนุญาตให้ส่งอีเมล ก็ไม่มีหลุดไปถึงคนแปลกหน้าสักราย
ส่วน LDAP ก็ถือว่าเข้ามาตรวจกันปกติ เพราะระบบมีไว้ให้ตรวจ
—
Last login: Fri Sep 05 2014 16:29:22 +0700
# last ดูว่านอกจากเรามีใครเข้าไปรึเปล่า
root pts/1 node-nuo.pool-11 Wed Oct 15 22:23 still logged in
wtmp begins Wed Oct 15 22:23:42 2014
# cd /var/log
# ls -ot
# tail –line 200 maillog ดู 200 บรรทัดล่าสุด
# cat maillog | grep delivery ดูว่าระบบส่งไปได้ ไปถึงใครบ้าง
# cat maillog | grep 107.150 ดูว่า ip นี้ทำอะไรไปบ้าง
# cat maillog | grep authentication ดูว่าเบอร์ไหนแอบเข้ามาลองระบบบ้าง
# cat messages | grep DNS พบเข้ามาลองเครื่องผ่าน sshd มหาศาล
# cd /var/log/httpd
# cat access_log | grep 103.22 พบว่ามีเครื่องมากมายเข้ามาลองของกับ /myadmin เยอะมาก
# netstat -na | grep EST ดูว่ามีใครกำลังเชื่อมต่ออยู่
# cat /etc/hosts.deny ดูว่าเคยกำหนด ip อะไรที่ถูก block ไปบ้าง โดยใช้ portmap
