ringkesnya begini : - mau liat sapa yang akses ke server (ssh,telnet) pake #w - mau liat sapa aja yang udah akses (ssh,telnet,ftp,rlogin,dll) atau yang masih login pake #last -R ++ Untuk kondisi dimana server masih normal belom sampe itu penyusup ngacak-acak sih bisa utk lihat. tapi kalo penyusupnya udah canggih sepertinya tools diatas sulit digunakan, misalnya aja itu cracker udah berhasil masuk dan dpt privileges tinggi, dia akan install rootkit atau semacamnya dimana tools-tools diatas sudah dimanipulasi utk tidak memperlihatkan keberadaannya bahkan semacam ps, lsof, netstat juga udah dimodif, termasuk md5sum nya tools tsb, manipulasi log, pasang sniffer dan backdor :( Disini rootkit hunter, chkrootkit sedikit bisa bantu utk cek.
- mau ngeblok port pake iptables di drop .... apalagi ya ++ kalo ada port yg kebuka rata-rata memang itu dibutuhkan, terus kenapa harus diblock? kalo emang service di port tersebut enggak dibutuhkan lebih baek ya dimatiin aja servicenya, dan diuninstall softwarenya, begini lebih aman. CMIIW mestinya sih kalo tujuannya utk membatasi hanya akses dgn 'kategori tertentu' aja baiknya di 'filter' bukan 'block'. dari pada diblock, mending dimatiin aja dong kl gak kepakai ;) salam, -rianu- -- Unsubscribe: kirim email kosong ke [EMAIL PROTECTED] Arsip, FAQ, dan info milis di http://linux.or.id/milis Tidak bisa posting? Baca: http://linux.or.id/problemmilis http://linux.or.id/tatatertibmilis
