Instalowanie OSSEC i Fail2ban na Debianie

@Jlcmux

3 minut

Zgodnie z obietnicą dług, tutaj przedstawiam nieco podstawową instalację programu OSSEC y Fail2ban. Tymi dwoma programami zamierzam trochę zabezpieczyć, serwer Apache i SSH.

Wikipedia:
OSSEC jest za darmo, open source system wykrywania włamań oparty na hoście (IDS). Działa analiza dziennika, sprawdzanie integralności, Rejestr systemu Windows monitorowanie, rootkit wykrywanie, ostrzeganie na podstawie czasu i aktywna reakcja. Zapewnia wykrywanie włamań dla większości systemów operacyjnych, w tym Linux, OpenBSD, FreeBSD, Mac OS X, Solaris i Windows. Ma scentralizowaną, wieloplatformową architekturę, która umożliwia łatwe monitorowanie i zarządzanie wieloma systemami. To było napisane przez Daniel B Cyd i upubliczniony w 2004 roku.

W podsumowaniu. OSSEC to detektor intruza, który sprawdza integralność naszego serwera za pomocą dzienników i alarmów. Więc wysyła sygnał za każdym razem, gdy plik systemowy jest modyfikowany itp.

Fail2ban to aplikacja napisana w Python za zapobieganie włamaniom do systemu, na podstawie kary za połączenie (blokowanie połączenia) ze źródłami próbującymi uzyskać dostęp siłowy. Jest rozpowszechniany na podstawie licencji GNU i zazwyczaj działa na wszystkich systemach POSIX ten interfejs z systemem kontroli pakietów lub zapora miejsce.

Krótko mówiąc, Fail2ban "bannea" lub blokuje połączenia, które próbują bezskutecznie określoną liczbę razy wejść do usługi na naszym serwerze.

OSSEC.

Wchodzimy na oficjalną stronę OSSEC I pobieramy wersję LINUX.

A następnie pobieramy GUI, które jest środowiskiem graficznym.

Teraz wszystko zainstalujemy.

# tar -xvf ossec-hids-2.7.tar.gz
# aptitude install build-essential

Teraz instalujemy

# cd ossec-hids-2.7 && sudo ./install

Następnie otrzymasz serię pytań. Przeczytaj bardzo dobrze i wykonaj wszystkie kroki.
Kiedy skończę kompilację, sprawdzamy.

# /var/ossec/bin/ossec-control start

Jeśli wszystko poszło dobrze, otrzymasz coś takiego.

Jeśli pojawi się komunikat o błędzie, taki jak: »OSSEC analysisd: Testowanie reguł nie powiodło się. Błąd konfiguracji. Zamykam. » Uruchomimy następujące, aby to naprawić.

# ln -s /var/ossec/bin/ossec-logtest /var/ossec/ossec-logtest

Graficzny interfejs.

Interfejs graficzny OSSEC przechodzi przez Internet. Jeśli nie masz zainstalowanego Apache. instalujemy to. i wsparcie dla PHP.

# apt-get install apache2 apache2-doc apache2-utils
# apt-get install libapache2-mod-php5 php5 php-pear php5-xcache
# apt-get install php5-suhosin

Teraz

# tar -xvf ossec-wui-0.3.tar.gz

Teraz jako ROOT przenosimy folder.

# mv ossec-wui-0.3 /var/www/ossec

Teraz instalujemy.

# cd /var/www/ossec/ && ./setup.sh

Zapyta nas o nazwę użytkownika i hasło (użytkownik nie musi być na Twoim komputerze. Służy tylko do logowania) Teraz zrobimy co następuje.
Editamos el archivo "/etc/group»

i gdzie to mówi "ossec:x:1001:"
Zostawiamy to tak: "ossec:x:1001:www-data"

Teraz wykonujemy następujące czynności (wewnątrz folderu »/ var / www / ossec»

# chmod 770 tmp/
# chgrp www-data tmp/
# /etc/init.d/apache2 restart

Teraz wchodzimy do naszego OSSEC. W naszej przeglądarce piszemy. „Localhost / ossec”

Teraz możemy zobaczyć, co dzieje się na naszym serwerze za pomocą dzienników.

INSTALUJEMY FAIL2BAN

Fail2ban znajduje się w repozytoriach. Dlatego jest łatwy w instalacji.
#apt-get install fail2ban
edytujemy
#nano /etc/fail2ban/jail.conf
Wciskamy CTRL-W i piszemy ssh.
Pojawi się coś takiego:

Umożliwiłoby to failt2ban dla SSH. (Jeśli zmienili port ssh. Zastąpili go) W ten sam sposób możemy włączyć go dla ftp. apache i mnogość usług. Teraz zmusimy go do wysłania nam e-maila, gdy zobaczy, że ktoś próbuje uzyskać dostęp. W /etc/fail2ban/jail.conf dodajemy.

[ssh-iptables] enabled = true filter = sshd action = iptables [nazwa = SSH, port = ssh, protokół = tcp] sendmail-whois [nazwa = SSH, dest =ty@mail.com, sender = fail2ban @ mail.com] logpath = /var/log/sshd.log maxretry = 5

Teraz restartujemy serwer.

# service fail2ban restart

Jak widzimy w dwóch poprzednich LOGACH, pokazuje mi, że rzeczywiście próbowali uzyskać dostęp przez sshd z błędnymi hasłami.

Podaje mi źródłowy ip i blokuje go. 🙂

pozdrowienia


Zostaw swój komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

*

*

  1. Odpowiedzialny za dane: Miguel Ángel Gatón
  2. Cel danych: kontrola spamu, zarządzanie komentarzami.
  3. Legitymacja: Twoja zgoda
  4. Przekazywanie danych: Dane nie będą przekazywane stronom trzecim, z wyjątkiem obowiązku prawnego.
  5. Przechowywanie danych: baza danych hostowana przez Occentus Networks (UE)
  6. Prawa: w dowolnym momencie możesz ograniczyć, odzyskać i usunąć swoje dane.

  1.   lusadi powiedział
    temu 11 roku

    Dobry tuto, jako wkład możemy edytować plik /etc/fail2ban/jail.conf
    aby dostosować wiele opcji, w tym maksymalny czas banowania, liczbę ponownych prób.

    Dzięki za wkład.

    Odpowiedz lusadi
  2.   Józef powiedział
    temu 11 roku

    Przede wszystkim bardzo dobry post (i blog też)! hehehe. Chciałem sprawdzić, czy możesz napisać post lub coś poświęconego nowej aktualizacji, którą Oracle właśnie wydała z Javy, jestem bardzo nowy w Linuksie (mam linux mint 14) i nie wiem, jak go zaktualizować, a przy tych lukach w zabezpieczeniach pilna jest aktualizacja . Przede wszystkim dzięki! 😀

    Odpowiedz josehp
    1.    @JlcMux. powiedział
      temu 11 roku

      Jak tam czytam. Wysłali aktualizację na ten dzień zerowy, ale wielu twierdzi, że błąd nadal występuje. Lepiej zostaw to odinstalowane.

      Odpowiedz do @Jlcmux
  3.   Twoja przestrzeń powiedział
    temu 11 roku

    w szczególności wolę zainstalować coś takiego, jak CSF ma to wszystko zintegrowane.

    Odpowiedz tuespazio
  4.   pebelina powiedział
    temu 11 roku

    Dziękuję Ci. Mam zamiar dostać się z OSSEC.
    Używam również serwera denyhosts razem z fail2ban. Wykonuje podobną pracę (w części sshd), a także aktualizuje listę „złych dzieci” z centralnego serwera, na którym możemy również zrzucić naszą czarną listę, a tym samym współpracować przy tworzeniu bardziej zaawansowanych list.

    Odpowiedz pebelino