E. 从入侵中恢复

　　1. 安装操作系统的一个干净版本
　　应该知道,如果一个系统被入侵,那么系统上的任何东西都有可能被修改过,包括内核,二进制文件,数据文件,运行的进程和内存.通常彻底将系统从后门和入侵者修改中解放出来的唯一方法是从发行介质重新安装操作系统,并且在重新连入网络之前安装所有的安全补丁.仅仅确定和修复用于上次入侵的漏洞是不够的.建议使用干净的二进制文件来恢复系统.为了将系统置于可控状态,应该使用初始的发行介
质来重装操作系统.

　　2. 禁用不需要的服务
　　重新配置系统,仅提供那些应该提供的服务,关掉其他服务.检查这些服务的配置文件中是否有缺陷,并确定这些服务仅对预定的其他系统开放.通常可以采用保守的策略,首先禁用所有的服务,只启动那些需要的服务.

　　3. 安装厂商提供的所有安全补丁
　　强烈建议对每一种系统安装全套的安全补丁.这是保证系统免受攻击的主要步骤,重要性是不言而喻的.建议定期联系供应商以取得有关系统的任何升级或补丁.

　　4. 咨询AusCERT和外部安全公告

　　5. 咨询CERT 公告,总结,厂商公告

　　6.小心使用备份中的数据
　　当从备份中恢复数据时,要确保备份本身来自于未被入侵的系统.否则有可能重新引入入侵者可以利用而得到非法访问的漏洞.如果仅仅恢用户的主目录和数据文件,注意任何文件里都有可能包含木马程序.应该特别注意用户主目录下的.rhosts文件.

　　7.更改密码
　　在所有的安全漏洞和配置问题修补或更正之后,建议更改受影响系统上的所有账号的密码.确保所有账号的密码是难猜的.可以考虑使用厂商或第三方提供的工具来增强密码的安全性.

　　F. 提高你系统和网络的安全性

　　1.复习有关UNIX或NT安全配置的文章
　　参考UNIX或NT配置指南,有助于评估系统的安全性.当检查常被入侵者利用的常见配置问题时,这些文档非常有用.
http://www.cert.org/tech_tips/unix_configuration_guidelines.html
http://www.cert.org/tech_tips/win_configuration_guidelines.html

　　2.复习有关安全工具的文章
　　考虑使用安全软件工具比如Tripwire, COPS, TCP wrapper.这些工具有助于增强系统的安全性并阻止入侵,相关的描述在:
http://www.cert.org/tech_tips/security_tools.html

　　3.安装安全工具
　　在将主机连回网络之前,安装所有的安全工具.并且此时正好是使用类似Tripwire之类的工具对新恢复的系统生成MD5校验快照的好时机.

　　4.激活最大日志
　　确保激活日志/审计/记账程序(比如,进行记账),并确保设置成正确的记录级别(比如,sendmail日志应该至少在9级之上).备份日志并考虑将日志写到别的计算机上,或写到只能添加(append-only)的文件系统上,或者一台安全的日志主机.

　　5.配置防火墙加强网络防御
　　考虑在防火墙,路由器或主机上过滤特定的TCP/IP服务.详细信息参见"包过滤防火墙系统"
http://www.cert.org/tech_tips/packet_filtering.html

　　G. 重新连上因特网
　　如果已经断开了同Internet的连接,在完成上面所有步骤之后,是重新连入的非常好的时机.

　　H. 更新你的安全策略
　　CERT协调中心推荐每个站点制定自己的安全策略.每个组织有自己独特的文化和安全需求.为Internet站点制定计算机安全策略及其步骤,详细信息参见RFC2196"站点安全手册" ftp://ftp.isi.edu/in-notes/rfc2196.txt

　　1. 记下从这次入侵恢复学到的教训
　　记下从这次入侵恢复学到的教训,有助于明确如何修订安全策略

　　2. 计算本次入侵事件的损失
　　对很多组织来说,直到他们理解了安全的代价,才会修改安全策略.计算本次入侵的损失有助于衡量安全对于机构的重要性.计算入侵的损失对于向管理层解释安全对于本机构的重要性是十分有帮助的.

　　3.汇总安全策略的所有改变
　　改变安全策略是整个过程中的最后一步.确保将这些改变以及由此带来的影响通知机构中的所有成员.