被入侵系统恢复指南[9]

在从备份中恢复数据时，要确信备份主机没有被侵入。一定要记住，恢复过程可能会重新带来安全缺陷，被入侵者利用。如果你只是恢复用户的home目录以及数据文件，请记住文件中可能藏有特洛伊木马程序。你还要注意用户起始目录下的.rhost文件。
6.改变密码
在弥补了安全漏洞或者解决了配置问题以后，建议你改变系统中所有帐户的密码。一定要确信所有帐户的密码都不容易被猜到。你可能需要使用供应商提供的或者第三方的工具加强密码的安全。
澳大利亚CERT发表了一篇choosing good passwords的文章，可以帮助你选择良好的密码。
F.加强系统和网络的安全
1.根据CERT的UNIX/NT配置指南检查系统的安全性
CERT的UNIX/NT配置指南可以帮助你检查系统中容易被入侵者利用的配置问题。
http://www.cert.org/tech_tips/unix_configuration_guidelines.html
http://www.cert.org/tech_tips/win_configuration_guidelines.html
查阅安全工具文档可以参考以下文章，决定使用的安全工具。
http://www.cert.org/tech_tips/security_tools.html
2.安装安全工具
在将系统连接到网络上之前，一定要安装所有选择的安全工具。同时，最好使用Tripwire、aide等工具对系统文件进行MD5校验，把校验码放到安全的地方，以便以后对系统进行检查。
3.打开日志
启动日志(logging)/检查(auditing)/记帐(accounting)程序,将它们设置到准确的级别,例如sendmail日志应该是9级或者更高。经常备份你的日志文件，或者将日志写到另外的机器、一个只能增加的文件系统或者一个安全的日志主机。
4.配置防火墙对网络进行防御
现在有关防火墙的配置文章很多，在此就不一一列举了。你也可以参考：
http://www.cert.org/tech_tips/packet_filtering.html
G.重新连接到Internet全
完成以上步骤以后，你就可以把系统连接回Internet了。
H.升级你的安全策略
CERT调节中心建议每个站点都要有自己的计算机安全策略。每个组织都有自己特殊的文化和安全需求，因此需要根据自己的情况指定安全策略。关于这一点请参考RFC2196站点安全手册:
ftp://ftp.isi.edu/in-notes/rfc2196.txt
1.总结教训
从记录中总结出对于这起事故的教训，这有助于你检讨自己的安全策略。
2.计算事故的代价
许多组织只有在付出了很大代价以后才会改进自己的安全策略。计算事故的代价有助于让你的组织认识到安全的重要性。而且可以让管理者认识到安全有多么重要。
3.改进你的安全策略