Много дистрибутивов Linux выполняют некоторые ежедневные задания крона рано утром. Индексация жесткого диска для slocate и вращения журнала оба произведет интенсивную активность диска в течение нескольких минут в зависимости от размера Вашего жесткого диска.
Я не уверен, настроена ли Ubuntu, тот же путь, но основанные на Redhat дистрибутивы обычно имеет/etc/cron.daily файл или каталог. Читайте на кроне и как он работает, и посмотрите на файлы в том каталоге.
По моему опыту, наиболее взломанные системы используются для их сетевого соединения, поэтому интенсивная активность диска не является большим индикатором злонамеренного действия.
Используйте подход Стефана для принудительной смены пароля при следующем входе в систему, а затем через неделю запросите AD для всех, у кого этот флаг не установлен. Затем отключите эти учетные записи и дождитесь вызова службы поддержки, чтобы заставить их изменить.
Или после недельного запроса AD pwdlastset
, как показано здесь: Powershell: Как мне запросить pwdLastSet и заставить его выполнить смысл? и отключать или заранее звонить тем пользователям, которые не устанавливали пароль в течение последних 7 дней, и работать с ними, чтобы изменить пароли своих учетных записей.
Если не считать этого, я не знаю об инструменте, который может запросить "простые пароли", но может быть кто-то другой.
Распространенное решение - принудительный сброс пароля для всех пользователей при следующем входе в систему
Обратите внимание, что в отличие от OpenVPN, StrongSWAN не предназначен для использования таким образом - он не создает виртуальные интерфейсы и не назначает виртуальные IP-адреса обеим сторонам туннеля. Что вы определенно могли бы сделать, так это добавить адрес 10.0.0.2 к одному из ваших интерфейсов на стороне сервера
ip addr add 10.0.0.2/32 dev eth0
и добавить соответствующую директиву "leftsubnet" в вашу конфигурацию, чтобы он стал частью фазы IPSEC. 2 обмен. Излишне говорить, что в этом случае вам нужно будет использовать ESP с туннелированием.
Одним из решений, которое может не одобряться сообществом, было бы «аудит» (кхм!) Паролей ваших пользователей на надежность, а затем информирование тех, кто явно не придерживается вашего нового стандарта.
Для «одитинга» я бы рекомендовал Джона Потрошителя . Как я уже сказал, это зависит от того, как это оставит вас с точки зрения политики / этики.