OK, jadi anda telah memeriksa seluruh sistem anda, dan menentukan bahwa ia aman, dan siap menaruhnya online. Terdapat beberapa hal yang perlu anda lakukan kini agar siap bila penyusupan benar terjadi, sehingga anda dapat secara cepat meniadakan penyusup, dan dapat kembali dan berjalan.
Diskusi mengenai metode backup dan penyimpanan di luar lingkup dokumen ini, tetapi beberapa kata berkaitan dengan backup dan keamanan: Jika anda memiliki kurang dari 650mb data untuk disimpan dalam partisi, salinan data anda pada CD-R adlah cara yang baik (karena sulit merubahnya dan jika dikembalikan dengan tepat dapat lestari). Tape dan media rewritable lainnya harus di write protect segera setelah backup anda selesai dan diverifikasi untuk mencegah perubahan. Pastikan anda menyimpan backup anda di tempat yang aman. Backup yang baik akan memastikan anda memiliki titik yang baik untuk mengembalikan sistem anda.
Siklus six-tape adalah mudah dipelihara. Ini mencakup empat tape selama satu minggu, satu tape untuk Jumat genap, dan satu tape untuk Jumat ganjil. Lakukan incremental backup setiap hari, dan full backup pada tape Jumat yang tepat. Jika anda membuat perubahan penting atau menambah data penting ke sistem anda, lakukan backup.
Bila ada penyusupan, anda dapat menggunakan database RPM sebagaimana anda menggunakan tripwire, tetapi hanya bila anda pasti ia belum dimodifikasi. Anda perlu menyalin database RPM ke floppy, dan memeliharanya. Distribusi Debian tampaknya memiliki hal serupa.
Secara khusus, file /var/lib/rpm/fileindex.rpm dan /var/lib/rpm/packages.rpm tidak akan cukup di satu floppy. Kompreslah maka masing-masing akan cukup di floppy terpisah.
Kini, bila sistem anda terganggu, anda dapat menggunakan perintah:
root# rpm -Va
untuk memverifikasi setiap file di sistem. Lihat man page RPM, ada beberapa pilihan lain yang dapat disertakan untuk membuatkan kurang detil.
Artinya setiap kali RPM baru ditambahkan ke sistem, database RPM perlu diarsip ulang. Anda perlu memutuskan keunggulan versus kelemahan.
Sangat penting bahwa informasi yang berasal dari syslog belum diganggu. Membuat file dalam /var/log dapat dibaca dan ditulis oleh sejumlah pemakai terbatas adalah awal yang baik.
Yakinkan untuk memperhatikan apa yang ditulis di sana, khususnya dalam fasilitas 'auth'. Banyaknya kegagalan login, sebagai contoh, dapat mengindikasikan usaha break-in.
Ke mana untuk melihat file log anda tergantung pada distribusi anda. Dalam sistem Linux yang sesuai dengan "Linux Filesystem Standard", seperti Red Hat, anda ingin melihat ke /var/log dan memeriksa pesan-pesan, mail.log dan lainnya.
Anda dapat menemukan di mana distribusi anda mencatat dengan melihat pada file /etc/syslog.conf. Ini file yang memberitahu syslogd (the system logging daemon) di mana mencatat berbagai pesan.
Anda mungkin ingin mengkonfigurasi script log-rotating anda atau daemon untuk menjaga log lebih panjang sehingga anda memiliki waktu untuk memeriksanya. Lihat paket 'logrotate' dalam distribusi Red Hat terkini. Distribusi lain juga memiliki proses yang serupa.
Jika file log anda telah diganggu, lihat bila anda dapat menentukan kapan terjadinya, dan hal-hal apa yang diganggu. Apakah ada periode waktu yang tidak dapat dihitung? Periksa tape backup (jika anda punya) untuk file log yang tidak terganggu adalah ide yang baik.
File log umumnya dimodifikasi oleh penyusup dalam rangka menutup jejaknya, tetapi mereka harus juga memeriksa kejadian-kejadian aneh. Anda mungkin memperhatikan penyusup berusaha memperoleh jalan masuk, atau mengeksploitasi program dalam rangka memperoleh rekening root. Anda mungkin melihat masukan log sebelum penyusup memiliki waktu memodifikasi mereka.
Anda harus juga yakin untuk memisahkan fasilitas 'auth' dari data log lain, termasuk usaha untuk mengganti pemakai menggunakan 'su', usaha login, dan informasi akuntansi pemakai lainnya.
Jika mungkin, konfigurasi syslog untuk mengirim salinan data yang paling penting ke sistem yang aman. Hal ini akan mencegah penyusup menutupi jejaknya dengan menghapus usaha login/su/ftp/etc. Lihat syslog.conf man page, dan acu pilihan '@'.
Akhirnya, file log kurang berguna ketika tak seorang pun membacanya. Lihatlah log file anda sewaktu-waktu, dan kenali tampaknya untuk hari normal. Dengan mengetahui hal ini dapat membantu mengenali hal-hal yang tidak biasa.
Kebanyakan pemakai Linux menginstal dari CDROM. Oleh karena tingginya fase perbaikan keamanan, program-program baru(perbaikan) selalu dikeluarkan. Sebelum anda menghubungkan mesin anda ke jaringan, adalah ide yang baik untuk memeriksa site ftp distribusi anda (sebagai contoh ftp.redhat.com) dan memperoleh seluruh paket yang diperbaharui sejak anda menerima CDROM distribusi anda. Seringkali paket-paket ini berisikan perbaikan keamanan yang penting, sehingga merupakan ide yang baik untuk menginstal mereka.