Așa cum am promis datoria, aici vin să vă arăt o instalare oarecum de bază a OSSEC y Fail2ban. Cu aceste două programe intenționez să asigur un pic, un server Apache și SSH.
Wikipedia:
OSSEC este gratuit, open-source sistem de detectare a intruziunilor bazat pe gazdă (IDS). Efectuează analiza jurnalului, verificarea integrității, Windows registry monitorizare, rootkit detectare, alertă bazată pe timp și răspuns activ. Oferă detectarea intruziunilor pentru majoritatea sistemelor de operare, inclusiv Linux, OpenBSD, FreeBSD, Mac OS X, Solaris și ferestre din. Are o arhitectură centralizată, pe mai multe platforme, permițând monitorizarea și gestionarea mai multor sisteme. A fost scris de Daniel B Cid și făcut public în 2004.
În concluzie. OSSEC este un detector de intruși care verifică integritatea serverului nostru prin jurnale și alarme. Deci, trimite un semnal de fiecare dată când un fișier de sistem este modificat etc.
Fail2ban este o aplicație scrisă în Piton pentru prevenirea intruziunilor într-un sistem, care se bazează pe penalizarea conexiunii (conexiune bloc) la sursele care încearcă accesul cu forță brută. Este distribuit sub licență GNU și funcționează de obicei pe toate sistemele POSIX acea interfață cu un sistem de control al pachetelor sau un firewall site-ul.
În rezumat, Fail2ban „bannea” sau blochează conexiunile care încearcă fără succes de un anumit număr de ori să introducă un serviciu pe serverul nostru.
OSSEC.
Mergem la pagina oficială a OSSEC Și descărcăm versiunea LINUX.
Și apoi descărcăm GUI-ul, care este ca mediu grafic.
Acum vom instala totul.
# tar -xvf ossec-hids-2.7.tar.gz
# aptitude install build-essential
Acum instalăm
# cd ossec-hids-2.7 && sudo ./install
Apoi, veți primi o serie de întrebări. Citiți foarte bine și urmați toți pașii.
Când termin compilarea verificăm.
# /var/ossec/bin/ossec-control start
Dacă totul a decurs bine, vei primi ceva de genul.
Dacă primiți un mesaj de eroare precum: »Analiza OSSEC: regulile de testare nu au reușit. Eroare de configurare. Ieșiți. » Rulăm următoarele pentru a remedia problema.
# ln -s /var/ossec/bin/ossec-logtest /var/ossec/ossec-logtest
Interfață grafică.
Interfața grafică a OSSEC trece prin web. Dacă nu aveți instalat Apache. îl instalăm. și suport și pentru PHP.
# apt-get install apache2 apache2-doc apache2-utils
# apt-get install libapache2-mod-php5 php5 php-pear php5-xcache
# apt-get install php5-suhosin
Acum
# tar -xvf ossec-wui-0.3.tar.gz
Acum, ca ROOT, mutăm folderul.
# mv ossec-wui-0.3 /var/www/ossec
Acum instalăm.
# cd /var/www/ossec/ && ./setup.sh
Ne va cere un nume de utilizator și o parolă (utilizatorul nu trebuie să fie pe computerul dvs. Este doar pentru autentificare) Acum vom face următoarele.
Editamos el archivo "/etc/group
»
și unde scrie "ossec:x:1001:"
O lăsăm așa: "ossec:x:1001:www-data"
Acum facem următoarele (în dosarul »/ var / www / ossec»
# chmod 770 tmp/
# chgrp www-data tmp/
# /etc/init.d/apache2 restart
Acum intrăm în OSSEC. În browserul nostru scriem. „Localhost / ossec”
Acum putem vedea ce se întâmplă pe serverul nostru prin jurnale.
INSTALăm FAIL2BAN
Fail2ban se află în depozite. Prin urmare, este ușor de instalat.
#apt-get install fail2ban
edităm
#nano /etc/fail2ban/jail.conf
Apăsăm CTRL-W și scriem ssh.
Va apărea ceva de genul:
Acest lucru ar permite failt2ban pentru SSH. (Dacă au schimbat portul ssh. Îl înlocuiesc) În același mod îl putem activa pentru ftp. apache și o multitudine de servicii. Acum îl vom face să ne trimită un e-mail când va vedea că cineva încearcă să acceseze. În /etc/fail2ban/jail.conf adăugăm.
[ssh-iptables] activat = true filter = sshd action = iptables [nume = SSH, port = ssh, protocol = tcp] sendmail-whois [nume = SSH, dest =tu@mail.com, expeditor = fail2ban @ mail.com] logpath = /var/log/sshd.log maxretry = 5
Acum repornim serverul.
# service fail2ban restart
După cum putem vedea în cele două JURNALE anterioare, mi-a arătat că au încercat de fapt să acceseze prin sshd cu parole eșuate.
Îmi spune sursa ip și o blochează. 🙂
În ceea ce priveşte
Bun tuto, ca contribuție putem edita fișierul /etc/fail2ban/jail.conf
pentru a personaliza multe opțiuni, inclusiv timpul maxim de interzicere, numărul de reîncercări.
Vă mulțumim pentru contribuție.
În primul rând o postare foarte bună (și pe blog)! hehehe. Am vrut să văd dacă puteți face o postare sau ceva dedicat noii actualizări pe care Oracle tocmai a lansat-o din Java, sunt foarte nou în Linux (am linux mint 14) și nu știu cum să îl actualizez și, cu aceste defecte de securitate, este urgent să îl actualizați . În primul rând, mulțumesc! 😀
În timp ce citeam acolo. Au trimis o actualizare pentru acea zi de 0, dar mulți spun că bug-ul persistă. Mai bine lăsați-l dezinstalat.
în special prefer să instalez ceva de genul că CSF are toate acestea integrate.
Mulțumesc. Voi ajunge cu OSSEC.
De asemenea, folosesc serverul denyhosts împreună cu fail2ban. Face o treabă similară (în partea sshd) și, de asemenea, actualizează lista „copiilor răi” de pe un server central, unde putem, de asemenea, să aruncăm lista noastră neagră și să colaborăm astfel la crearea unor liste mai puternice.