Я должен сообщить о попытках взламывания?
Во-первых, сценарии запуска обычно только принимают 'остановку' или 'запускаются' как их единственный параметр. Это передается стандартной программой запуска, поскольку она запускает каждый сценарий запуска/завершения работы.
chkconfig, в основном помещает символьную ссылку в стартовый каталог, таким образом, что стандартные программы запуска/завершения работы посмотрят на него.
Таким образом Вы не можете передать параметры с помощью этого процесса.
-----предпочтительный метод 1
Однако путь обычно раньше устанавливал переменную, и параметры должен поместить параметры в/etc/sysconfig/.
Сценарий обычно импортирует эти параметры конфигурации вначале в выполнении сервисного сценария запуска (через a./etc/sysconfig/).
----не предпочтенный метод 2
Можно отредактировать сценарий запуска, который обычно располагается в/etc/init.d/, чтобы сделать то, что Вы хотите. Проблема с этим подходом состоит в том, что, если Вы, оказывается, применяете обновление, вероятно, что любые изменения как это исчезли бы.
Приятного отдыха!
Другой подход
В то время как ответ может зависеть значительно от агентства, Вы пытаетесь сообщить, я полагаю, что в целом Вы должны. На самом деле, начиная с контроля и ответа на почтовый ящик злоупотребления для нашей организации одни из моих основных должностных обязанностей, я могу положительно сказать, 'Да!'. У меня был этот тот же разговор с членами других организаций по вопросам безопасности, и ответы, казалось, в основном состояли из:
- Если whois информация о IP показывает бизнес или университет, то сообщите
- Если whois информация о IP показывает ISP, то не беспокойтесь
Я, конечно, не скажу Вам следовать тем правилам, но я рекомендовал бы допустить ошибку на стороне создания отчетов. Это обычно не прилагает много усилий и может действительно выручить парней на другом конце. Их обоснование состояло в том, что ISPs находятся не часто в положениях для принятия значимых мер, таким образом, они зарегистрируют информацию далеко. Я могу сказать, что мы будем настойчиво добиваться решения вопроса. Мы не ценим взломанные машины в нашей сети, поскольку у них есть тенденция распространиться.
Реальный прием должен формализовать Ваш ответ и процедуру отчетности так, чтобы это могло быть последовательно между отчетами, а также между штатом. Мы хотим, в минимуме, следующем:
- IP-адрес системы нападения
- Метка времени (включая часовой пояс) события
- IP-адреса систем на Вашем конце
Если можно также включать образец сообщений журнала, которые информировали Вас, которые могут также быть полезными.
Обычно, когда мы видим этот вид поведения, мы также устанавливаем блоки брандмауэра самого соответствующего объема в самом соответствующем местоположении. Определения соответствующих собираются зависеть значительно от того, что происходит, какой бизнес Вы находитесь в, и на что похожа Ваша инфраструктура. Это может колебаться от блокирования единственного IP нападения в хосте, полностью до не маршрутизации что ASN на границе.
Это - нападение подбора пароля, известное как атака перебором. Лучшая защита состоит в том, чтобы удостовериться, что пользовательские пароли сильны. Другой, решение состоит в том, чтобы заблокировать IP-адрес с несколькими неудавшимися логинами. Атаки перебором трудно остановить.
Как, какой lynxman сказал все, действительно можно сделать, связаться с их отделом Злоупотребления ISPs и сообщить им. Я заблокировал бы тот IP и в Брандмауэре и на сервере. Второй я также установил бы основанный на попытке локаут в Групповой политике (если у Вас есть AD). Пока Ваши Пароли сильны, я не волновался бы об этом, у меня есть Серверы, которые я выполняю для изучения, и я целый день получаю попытки входа в систему.
К сожалению, это абсолютно нормально, большая часть из этого пытается, сгенерированы через другие серверы, которые были взломаны также.
Лучшее, которое можно сделать, - то, что, если Вы видите, что эти нападения прибывают persistenly из уникального IP-адреса и у Вас есть подозрение, что сервер был взломан, должен послать злоупотребление/системных администраторов по электронной почте в том сервере, таким образом, они могут зафиксировать ситуацию, довольно легко потерять след сервера, когда Вы перегружаетесь и поддержание сотни из них.
В любом другом брандмауэринге случая, фильтруя или игнорируя главным образом хорошая практика.
Ваша проблема здесь состоит в том, что огромное количество их, вероятно, будет прибывать из поставленных под угрозу машин в различных странах, которые являются, вероятно, ПК домашних пользователей и находятся, вероятно, на динамических схемах адресации.
Что означает, что владельцы машин не знают, что передают нападения и не заботятся, они могут быть в странах, где закон действительно не заботится, и ISP, вероятно, не заботится и в любом случае не захочет тралить журналы для наблюдения, кто использовал тот IP-адрес.
Лучший план является комбинацией lynxman's, Jacob и пакеты - обычно блокируют их, но настраивают сценарий, чтобы видеть, существуют ли общие преступники и конкретно отправляют Ваш comms отделам Злоупотребления тех ISP.
Лучшее использование Вашего времени, когда путь.