Debian에 OSSEC 및 Fail2ban 설치

약속 한대로 빚이 있습니다. 여기에서는 약간의 기본적인 설치를 보여 드리겠습니다. OSSEC y Fail2ban. 이 두 프로그램을 사용하여 Apache 서버와 SSH를 약간 보호하려고합니다.

위키백과 :
OSSEC 하는 비어 있는, 오픈 소스 호스트 기반 침입 탐지 시스템 (IDS). 수행합니다 로그 분석, 무결성 검사, Windows 레지스트리 모니터링, 루트킷 탐지, 시간 기반 경고 및 능동적 대응. 다음을 포함한 대부분의 운영 체제에 대한 침입 감지를 제공합니다. 리눅스, 오픈 BSD, FreeBSD의, 맥 OS X, 솔라리스윈도우. 중앙 집중식 크로스 플랫폼 아키텍처를 통해 여러 시스템을 쉽게 모니터링하고 관리 할 수 ​​있습니다. 작성자 다니엘 비 시드 2004 년에 공개되었습니다.

요약하자면. OSSEC는 로그 및 알람을 통해 서버의 무결성을 확인하는 침입자 탐지기입니다. 따라서 시스템 파일이 수정 될 때마다 신호를 보냅니다.

Fail2ban 에 작성된 응용 프로그램입니다 점을 치는 영 무차별 대입 접근을 시도하는 소스에 대한 연결 페널티 (연결 차단)를 기반으로하는 시스템의 침입 방지 라이센스에 따라 배포됩니다. GNU 일반적으로 모든 시스템에서 작동합니다. POSIX 패킷 제어 시스템 또는 방화벽 사이트.

요컨대, Fail2ban "bannea"또는 서버에서 서비스에 들어가기 위해 특정 횟수에 실패하는 연결을 차단합니다.

OSSEC.

공식 페이지로 이동합니다 OSSEC 그리고 LINUX 버전을 다운로드합니다.

그런 다음 그래픽 환경으로 GUI를 다운로드합니다.

이제 우리는 모든 것을 설치할 것입니다.

# tar -xvf ossec-hids-2.7.tar.gz
# aptitude install build-essential

이제 우리는 설치

# cd ossec-hids-2.7 && sudo ./install

다음으로 일련의 질문을 받게됩니다. 잘 읽고 모든 단계를 따르십시오.
컴파일이 끝나면 확인합니다.

# /var/ossec/bin/ossec-control start

모든 것이 잘되면 다음과 같은 것을 얻을 수 있습니다.

다음과 같은 오류 메시지가 표시되는 경우 :»OSSEC analysisd : Testing rules failed. 구성 오류입니다. 종료합니다.» 이를 수정하기 위해 다음을 실행합니다.

# ln -s /var/ossec/bin/ossec-logtest /var/ossec/ossec-logtest

그래픽 인터페이스.

OSSEC의 그래픽 인터페이스는 웹을 통해 전달됩니다. Apache가 설치되어 있지 않은 경우. 우리는 그것을 설치합니다. PHP도 지원합니다.

# apt-get install apache2 apache2-doc apache2-utils
# apt-get install libapache2-mod-php5 php5 php-pear php5-xcache
# apt-get install php5-suhosin

지금

# tar -xvf ossec-wui-0.3.tar.gz

이제 ROOT로 폴더를 이동합니다.

# mv ossec-wui-0.3 /var/www/ossec

이제 설치합니다.

# cd /var/www/ossec/ && ./setup.sh

사용자 이름과 암호를 묻는 메시지가 표시됩니다 (사용자가 PC에있을 필요는 없습니다. 로그인 전용입니다.) 이제 다음을 수행하겠습니다.
Editamos el archivo "/etc/group»

그리고 그것은 어디에 말합니까 "ossec:x:1001:"
다음과 같이 둡니다. "ossec:x:1001:www-data"

이제 다음을 수행합니다 (폴더 내»/ var / www / ossec»

# chmod 770 tmp/
# chgrp www-data tmp/
# /etc/init.d/apache2 restart

 

이제 OSSEC에 들어갑니다. 브라우저에서 작성합니다. "Localhost / ossec"

 

이제 로그를 통해 서버에서 일어나는 일을 볼 수 있습니다.

 

 

FAIL2BAN을 설치합니다.

Fail2ban은 저장소에 있습니다. 따라서 설치가 쉽습니다.
#apt-get install fail2ban
우리는 편집한다
#nano /etc/fail2ban/jail.conf
CTRL-W를 누르고 ssh를 작성합니다.
다음과 같이 나타납니다.

그러면 SSH에 대해 failt2ban이 활성화됩니다. (ssh 포트를 변경 한 경우 대체합니다.) 동일한 방법으로 ftp에 대해 활성화 할 수 있습니다. 아파치 및 다양한 서비스. 이제 누군가가 액세스를 시도하고 있음을 알게되면 이메일을 보내도록 할 것입니다. /etc/fail2ban/jail.conf에 추가합니다.

[ssh-iptables] 활성화 됨 = true 필터 = sshd 작업 = iptables [이름 = SSH, 포트 = ssh, 프로토콜 = tcp] sendmail-whois [이름 = SSH, 대상 =you@mail.com, 발신자 = fail2ban @ mail.com] logpath = /var/log/sshd.log maxretry = 5

이제 서버를 다시 시작합니다.

# service fail2ban restart

 

이전 두 로그에서 볼 수 있듯이 실패한 암호로 sshd에 의해 실제로 액세스를 시도했음을 보여줍니다.

소스 IP를 알려주고 차단합니다. 🙂

 

안부


기사의 내용은 우리의 원칙을 준수합니다. 편집 윤리. 오류를보고하려면 여기에.

5 코멘트, 당신의 것을 남겨주세요

코멘트를 남겨주세요

귀하의 이메일 주소는 공개되지 않습니다. 필수 필드가 표시되어 있습니다 *

*

*

  1. 데이터 책임자 : Miguel Ángel Gatón
  2. 데이터의 목적 : 스팸 제어, 댓글 관리.
  3. 합법성 : 귀하의 동의
  4. 데이터 전달 : 법적 의무에 의한 경우를 제외하고 데이터는 제 XNUMX 자에게 전달되지 않습니다.
  5. 데이터 저장소 : Occentus Networks (EU)에서 호스팅하는 데이터베이스
  6. 권리 : 귀하는 언제든지 귀하의 정보를 제한, 복구 및 삭제할 수 있습니다.

  1.   Lusadi

    좋은 tuto, 기여로 우리는 /etc/fail2ban/jail.conf 파일을 편집 할 수 있습니다.
    최대 금지 시간, 재시도 횟수를 포함하여 많은 옵션을 사용자 정의합니다.

    입력 해 주셔서 감사합니다.

  2.   조셉

    우선 아주 좋은 포스트 (그리고 블로그도)! 헤 헤헤. Oracle이 Java에서 방금 릴리스 한 새 업데이트에 대한 게시물이나 무언가를 작성할 수 있는지 확인하고 싶었습니다. 저는 Linux를 처음 사용하며 (Linux mint 14가 있습니다) 업데이트 방법을 모르겠습니다. 이 보안 결함을 업데이트하는 것이 시급합니다. 우선 감사합니다! 😀

    1.   

      내가 거기에서 읽었을 때. 그들은 그 0 일에 대한 업데이트를 보냈지 만 많은 사람들은 버그가 지속된다고 말합니다. 제거 된 상태로 두는 것이 좋습니다.

  3.   Tuespazio

    특히 나는 CSF가이 모든 것을 통합 한 것과 같은 것을 설치하는 것을 선호합니다.

  4.   Pebelino

    감사합니다. 나는 OSSEC과 함께 할 것입니다.
    또한 fail2ban과 함께 denyhosts 서버를 사용합니다. 유사한 작업 (sshd 부분에서)을 수행하고 중앙 서버에서 '나쁜 자녀'목록을 업데이트하여 블랙리스트를 덤프하여 더 강력한 목록을 만드는 데 협력 할 수 있습니다.