Zoals beloofd is schuld, hier kom ik je een ietwat eenvoudige installatie van OSSEC y Fail2ban. Met deze twee programma's ben ik van plan een bit te beveiligen, een Apache-server en SSH.
Wikipedia:
OSSEC is een gratis, open source host-gebaseerd inbraakdetectiesysteem (IDS). Het presteert logboekanalyse, integriteitscontrole, Windows-register monitoring, rootkit detectie, op tijd gebaseerde waarschuwing en actieve reactie. Het biedt inbraakdetectie voor de meeste besturingssystemen, inclusief Linux, OpenBSD, FreeBSD, Mac OS X, solaris en Dakramen en raamkozijnen. Het heeft een gecentraliseerde, platformonafhankelijke architectuur waardoor meerdere systemen eenvoudig kunnen worden bewaakt en beheerd. Het was geschreven door Daniel B. Cido en openbaar gemaakt in 2004.
Samengevat. OSSEC is een indringerdetector die de integriteit van onze server controleert via logboeken en alarmen. Het stuurt dus een signaal elke keer dat een systeembestand wordt gewijzigd enz.
Fail2ban is een applicatie geschreven in Python voor het voorkomen van inbraken in een systeem, dat is gebaseerd op de verbindingsboete (blokkeerverbinding) met de bronnen die brute force-toegang proberen. Het wordt onder de licentie verspreid GNU en werkt doorgaans op alle systemen POSIX die interface met een pakketbeheersysteem of een firewall site.
Samengevat, Fail2ban "bannea" of blokkeert de verbindingen die een bepaald aantal keren tevergeefs proberen om een dienst op onze server binnen te gaan.
OSSEC.
We gaan naar de officiële pagina van OSSEC En we downloaden de LINUX-versie.
En dan downloaden we de GUI die als grafische omgeving.
Nu gaan we alles installeren.
# tar -xvf ossec-hids-2.7.tar.gz
# aptitude install build-essential
Nu installeren we
# cd ossec-hids-2.7 && sudo ./install
Vervolgens krijg je een reeks vragen. Lees heel goed en volg alle stappen.
Als ik klaar ben met compileren, controleren we.
# /var/ossec/bin/ossec-control start
Als alles goed is gegaan, krijg je zoiets als.
Als u een foutmelding krijgt zoals: »OSSEC analysed: Testregels mislukt. Configuratiefout. Afsluiten. » We voeren het volgende uit om het probleem op te lossen.
# ln -s /var/ossec/bin/ossec-logtest /var/ossec/ossec-logtest
Grafische interface.
De grafische interface van OSSEC verloopt via internet. Als je Apache niet hebt geïnstalleerd. wij installeren het. en ondersteuning voor PHP.
# apt-get install apache2 apache2-doc apache2-utils
# apt-get install libapache2-mod-php5 php5 php-pear php5-xcache
# apt-get install php5-suhosin
nu
# tar -xvf ossec-wui-0.3.tar.gz
Nu verplaatsen we als ROOT de map.
# mv ossec-wui-0.3 /var/www/ossec
Nu installeren we.
# cd /var/www/ossec/ && ./setup.sh
Het zal ons om een gebruikersnaam en wachtwoord vragen (de gebruiker hoeft niet op uw computer te zijn. Het is alleen om in te loggen). Nu gaan we het volgende doen.
Editamos el archivo "/etc/group»
en waar staat het "ossec:x:1001:"
We laten het zo: "ossec:x:1001:www-data"
Nu doen we het volgende (in de map »/ var / www / ossec»
# chmod 770 tmp/
# chgrp www-data tmp/
# /etc/init.d/apache2 restart
Nu gaan we onze OSSEC binnen. In onze browser schrijven we. "Localhost / ossec"
Nu kunnen we via logboeken zien wat er op onze server gebeurt.
WIJ INSTALLEREN FAIL2BAN
Fail2ban bevindt zich in opslagplaatsen. Daarom is het eenvoudig te installeren.
#apt-get install fail2ban
wij bewerken
#nano /etc/fail2ban/jail.conf
We drukken op CTRL-W en schrijven ssh.
Het zal er ongeveer zo uitzien:
Dit zou de failt2ban voor SSH mogelijk maken. (Als ze de ssh-poort hebben gewijzigd. Ze vervangen het) Op dezelfde manier kunnen we het inschakelen voor ftp. apache en een veelvoud aan services. Nu gaan we hem dwingen ons een e-mail te sturen als hij ziet dat iemand probeert toegang te krijgen. In /etc/fail2ban/jail.conf voegen we toe.
[ssh-iptables] ingeschakeld = true filter = sshd action = iptables [naam = SSH, poort = ssh, protocol = tcp] sendmail-whois [naam = SSH, dest =jij@mail.com, afzender = fail2ban @ mail.com] logpath = /var/log/sshd.log maxretry = 5
Nu herstarten we de server.
# service fail2ban restart
Zoals we kunnen zien in de twee vorige LOGS, laat het me zien dat ze daadwerkelijk hebben geprobeerd toegang te krijgen via sshd met mislukte wachtwoorden.
Het vertelt me de bron-ip en blokkeert het. 🙂
groeten
Goede tuto, als bijdrage kunnen we het bestand /etc/fail2ban/jail.conf bewerken
om vele opties aan te passen, inclusief de maximale ban tijd, het aantal pogingen.
Bedankt voor de input.
Allereerst een hele goede post (en ook blog)! hehehe. Ik wilde zien of je een bericht of iets anders kunt maken dat is gewijd aan de nieuwe update die Oracle zojuist van Java heeft uitgebracht, ik ben erg nieuw voor Linux (ik heb linux mint 14) en ik weet niet hoe ik het moet updaten, en met deze beveiligingsfouten zijn dringend nodig om deze bij te werken. Allereerst bedankt! 😀
Zoals ik daar las. Ze stuurden een update voor die 0-dag, maar velen zeggen dat de bug aanhoudt. Laat het beter verwijderd.
in het bijzonder geef ik er de voorkeur aan om zoiets als CSF te installeren dat dit allemaal heeft geïntegreerd.
Dank je. Ik ga OSSEC halen.
Ik gebruik ook de denyhosts-server samen met fail2ban. Het doet een soortgelijk werk (in het sshd-gedeelte) en werkt ook de lijst met 'slechte kinderen' bij vanaf een centrale server waar we ook onze zwarte lijst kunnen dumpen en zo samen kunnen werken aan het creëren van krachtigere lijsten.