Используйте свое программное обеспечение для резервного копирования, чтобы сделать еще одну резервную копию и список измененных файлов. Длинный список, и нет универсального способа его оценки. Возможно, выборочная проверка того, что критическая для безопасности конфигурация аутентификации не была затронута, а установленный набор программного обеспечения является разумным.
У вашей помощи не должно быть разрешений на запись в хранилище резервных копий, если это не входит в объем работы. В противном случае злоумышленник может изменить историю.
Рассмотрите возможность централизованного ведения журнала, а также ограниченный доступ, чтобы его нельзя было изменить.syslog, возможно, дополнительный аудит или ведение журнала приложений. Также большой объем, поэтому прочитать все это не представляется возможным. Тем не менее, наличие таких журналов в безопасности позволяет восстановить то, что произошло, если это необходимо.
Ответственные люди поймут эти меры предосторожности как часть таких принципов, как разделение обязанностей. Запрещается вмешиваться в контрольные журналы и системы восстановления.
Подход, ориентированный на автоматизацию, может уменьшить вашу зависимость от конфигурации одного хоста. Результаты могут включать сценарии для выполнения запрошенных задач. Просмотрите сценарии, протестируйте их. Сожгите тестовую среду и перестройте ее, как если бы вы действительно были скомпрометированы и нуждались в восстановлении после чистой установки.
