Linux服务器上的取证工具

Question

我试图为我们的数据中心服务器整合一组安全工具。我们主要是Linux商店(RHEL)和一些Windows 2008/12服务器。核心业务是软件即服务( Software )，因此它不是一个经典的企业环境。同时，我们采用NIST 800-53标准，并根据要求，暗示了取证工具的实现。根据您的最佳实践，您会在服务器场中部署硬盘取证工具(如EnCase或FTK )吗？

Answer 1

除非您在调查期间使用该工具的代理，否则我会将法医工具排除在生产服务器之外。通常，这些工具都是在客户端环境中运行的，比如在调查人员的笔记本电脑或桌面上运行。

这项建议有几个理由：

• 在服务器环境中持久化法医工具可以使进一步的妥协变得更容易。
• 除了内存收集之外，取证还应该在图像上进行，因此它们将在活动服务器环境之外进行。
• 为诉讼程序收集和锁定客户端膝上型计算机或台式机比使用法医工具的服务器场更容易。

这方面的例外是案例管理软件。在事故发生期间，调查人员可能需要或需要拥有服务器端的案件管理软件。这在企业环境中并不少见。但是，我将其与实际的法医软件(如您提到的EnCase和FTK包)分开。案件管理应该是调查人员对事件进行评论、分享细节的地方，但是图像收集和管理应该在包含的客户环境中进行。