Instaliranje OSSEC-a i Fail2ban na Debian

@Jlcmux

3 minuta

Kao što je i obećano, dug vam dolazim kako bih vam pokazao donekle osnovnu instalaciju OSSEC y Fail2ban. S ova dva programa namjeravam osigurati malo, Apache poslužitelj i SSH.

Wikipedia:
OSSEC je besplatno, open source host-based sustav za otkrivanje upada (IDS). Izvodi analiza dnevnika, provjera integriteta, Registar sustava Windows monitoring, rootkit otkrivanje, upozorenje temeljeno na vremenu i aktivan odgovor. Pruža otkrivanje upada za većinu operativnih sustava, uključujući Linux, OpenBSD, FreeBSD, Mac OS X, Solaris i Windows. Ima centraliziranu, višeplatformsku arhitekturu koja omogućava lako nadgledanje i upravljanje višestrukim sustavima. Napisao je Daniel B Cid i objavljen 2004. godine.

U sažetku. OSSEC je detektor uljeza koji provjerava integritet našeg poslužitelja putem dnevnika i alarma. Dakle, šalje signal svaki put kad se sistemska datoteka promijeni itd.

Fail2ban je aplikacija napisana na Piton za sprečavanje upada u sustav koji se temelji na kažnjavanju za vezu (blok veza) s izvorima koji pokušavaju pristupiti grubom silom. Distribuira se prema licenci GNU i obično radi na svim sustavima POSIX to sučelje sa sustavom za kontrolu paketa ili a vatrozid Lokalna.

Ukratko, Fail2ban "bannea" ili blokira veze koje neuspješno pokušaju određeni broj puta ući u uslugu na našem poslužitelju.

OSSEC.

Idemo na službenu stranicu OSSEC I preuzimamo verziju LINUX.

A zatim preuzmemo GUI koji kao grafičko okruženje.

Sad ćemo instalirati sve.

# tar -xvf ossec-hids-2.7.tar.gz
# aptitude install build-essential

Sada instaliramo

# cd ossec-hids-2.7 && sudo ./install

Dalje ćete dobiti niz pitanja. Pročitajte vrlo dobro i slijedite sve korake.
Kad završim sa sastavljanjem provjeravamo.

# /var/ossec/bin/ossec-control start

Ako je sve prošlo u redu, dobit ćete nešto poput.

Ako dobijete poruku o pogrešci poput: »OSSEC analysisd: Pravila testiranja nisu uspjela. Pogreška u konfiguraciji. Izlaz. » Izvodimo sljedeće kako bismo to popravili.

# ln -s /var/ossec/bin/ossec-logtest /var/ossec/ossec-logtest

Grafičko sučelje.

Grafičko sučelje OSSEC-a prolazi kroz mrežu. Ako nemate instaliran Apache. mi ga instaliramo. kao i podrška za PHP.

# apt-get install apache2 apache2-doc apache2-utils
# apt-get install libapache2-mod-php5 php5 php-pear php5-xcache
# apt-get install php5-suhosin

Sada

# tar -xvf ossec-wui-0.3.tar.gz

Sada kao ROOT premještamo mapu.

# mv ossec-wui-0.3 /var/www/ossec

Sada instaliramo.

# cd /var/www/ossec/ && ./setup.sh

Zatražit će od nas korisničko ime i lozinku (korisnik ne mora biti na vašem računalu. To je samo za prijavu) Sada ćemo učiniti sljedeće.
Editamos el archivo "/etc/group»

a gdje stoji "ossec:x:1001:"
Ostavljamo ga ovako: "ossec:x:1001:www-data"

Sada radimo sljedeće (unutar mape »/ var / www / ossec»

# chmod 770 tmp/
# chgrp www-data tmp/
# /etc/init.d/apache2 restart

Sada ulazimo u naš OSSEC. U našem pregledniku pišemo. "Localhost / ossec"

Sada kroz zapisnike možemo vidjeti što se događa na našem poslužitelju.

INSTALIRAMO FAIL2BAN

Fail2ban je u spremištima. Stoga ga je jednostavno instalirati.
#apt-get install fail2ban
uređujemo
#nano /etc/fail2ban/jail.conf
Pritisnite CTRL-W i napišite ssh.
Pojavit će se otprilike kao:

To bi omogućilo failt2ban za SSH. (Ako su promijenili ssh port. Zamjenjuju ga) Na isti način na koji ga možemo omogućiti za ftp. apache i mnoštvo usluga. Sad ćemo ga natjerati da nam pošalje e-mail kad vidi da netko pokušava pristupiti. U /etc/fail2ban/jail.conf dodajemo.

[ssh-iptables] omogućeno = true filter = sshd action = iptables [name = SSH, port = ssh, protocol = tcp] sendmail-whois [name = SSH, dest =ti@mail.com, pošiljatelj = fail2ban @ mail.com] put puta = /var/log/sshd.log maxretry = 5

Sada ponovno pokrećemo poslužitelj.

# service fail2ban restart

Kao što možemo vidjeti u dva prethodna LOGA, pokazuje mi da su oni zapravo pokušali pristupiti sshd-om s neuspjelim lozinkama.

Kaže mi izvorni IP i blokira ga. 

pozdravi


Ostavite svoj komentar

Vaša email adresa neće biti objavljen. Obavezna polja su označena s *

*

*

  1. Za podatke odgovoran: Miguel Ángel Gatón
  2. Svrha podataka: Kontrola neželjene pošte, upravljanje komentarima.
  3. Legitimacija: Vaš pristanak
  4. Komunikacija podataka: Podaci se neće dostavljati trećim stranama, osim po zakonskoj obvezi.
  5. Pohrana podataka: Baza podataka koju hostira Occentus Networks (EU)
  6. Prava: U bilo kojem trenutku možete ograničiti, oporaviti i izbrisati svoje podatke.

      lusadi dijo
    zec 12 godina

    Dobro, kao doprinos možemo urediti datoteku /etc/fail2ban/jail.conf
    za prilagodbu mnogih opcija, uključujući maksimalno vrijeme zabrane i broj ponovnih pokušaja.

    Hvala na unosu.

    Odgovoriti lusadi
      josephp dijo
    zec 12 godina

    Prije svega jako dobar post (i blog također)! hehehe. Želio sam vidjeti možete li objaviti post ili nešto posvećeno novom ažuriranju koje je Oracle upravo objavio s Jave, vrlo sam nov u Linuxu (imam linux mint 14) i ne znam kako ga ažurirati, a uz zbog sigurnosnih nedostataka hitno ga je ažurirati. Prije svega, hvala! 😀

    Odgovorite na josehp
         @Jlcmux dijo
      zec 12 godina

      Dok sam tamo čitao. Poslali su ažuriranje za taj 0-dan, ali mnogi kažu da greška postoji. Bolje je ostavite neinstaliranu.

      Odgovorite na @Jlcmux
      svoj prostor dijo
    zec 12 godina

    posebno više volim instalirati nešto kao što je CSF sve ovo integrirano.

    Odgovorite na tuespazio
      pebelin dijo
    zec 12 godina

    Hvala vam. Idem s OSSEC-om.
    Također koristim poslužitelj denyhosts zajedno s fail2ban. Radi sličan posao (u sshd dijelu), a također ažurira popis 'loše djece' sa središnjeg poslužitelja gdje također možemo izbaciti svoj crni popis i tako surađivati ​​u stvaranju moćnijih popisa.

    Odgovorite na pebelino