Instalarea OSSEC și Fail2ban pe Debian

@Jlcmux

5 Comentarii

Așa cum am promis datoria, aici vin să vă arăt o instalare oarecum de bază a OSSEC y Fail2ban. Cu aceste două programe intenționez să asigur un pic, un server Apache și SSH.

Wikipedia:
OSSEC este gratuit, open-source sistem de detectare a intruziunilor bazat pe gazdă (IDS). Efectuează analiza jurnalului, verificarea integrității, Windows registry monitorizare, rootkit detectare, alertă bazată pe timp și răspuns activ. Oferă detectarea intruziunilor pentru majoritatea sistemelor de operare, inclusiv Linux, OpenBSD, FreeBSD, Mac OS X, Solaris și ferestre din. Are o arhitectură centralizată, pe mai multe platforme, permițând monitorizarea și gestionarea mai multor sisteme. A fost scris de Daniel B Cid și făcut public în 2004.

În concluzie. OSSEC este un detector de intruși care verifică integritatea serverului nostru prin jurnale și alarme. Deci, trimite un semnal de fiecare dată când un fișier de sistem este modificat etc.

Fail2ban este o aplicație scrisă în Piton pentru prevenirea intruziunilor într-un sistem, care se bazează pe penalizarea conexiunii (conexiune bloc) la sursele care încearcă accesul cu forță brută. Este distribuit sub licență GNU și funcționează de obicei pe toate sistemele POSIX acea interfață cu un sistem de control al pachetelor sau un firewall site-ul.

În rezumat, Fail2ban „bannea” sau blochează conexiunile care încearcă fără succes de un anumit număr de ori să introducă un serviciu pe serverul nostru.

OSSEC.

Mergem la pagina oficială a OSSEC Și descărcăm versiunea LINUX.

Și apoi descărcăm GUI-ul, care este ca mediu grafic.

Acum vom instala totul.

# tar -xvf ossec-hids-2.7.tar.gz
# aptitude install build-essential

Acum instalăm

# cd ossec-hids-2.7 && sudo ./install

Apoi, veți primi o serie de întrebări. Citiți foarte bine și urmați toți pașii.
Când termin compilarea verificăm.

# /var/ossec/bin/ossec-control start

Dacă totul a decurs bine, vei primi ceva de genul.

Dacă primiți un mesaj de eroare precum: »Analiza OSSEC: regulile de testare nu au reușit. Eroare de configurare. Ieșiți. » Rulăm următoarele pentru a remedia problema.

# ln -s /var/ossec/bin/ossec-logtest /var/ossec/ossec-logtest

Interfață grafică.

Interfața grafică a OSSEC trece prin web. Dacă nu aveți instalat Apache. îl instalăm. și suport și pentru PHP.

# apt-get install apache2 apache2-doc apache2-utils
# apt-get install libapache2-mod-php5 php5 php-pear php5-xcache
# apt-get install php5-suhosin

Acum

# tar -xvf ossec-wui-0.3.tar.gz

Acum, ca ROOT, mutăm folderul.

# mv ossec-wui-0.3 /var/www/ossec

Acum instalăm.

# cd /var/www/ossec/ && ./setup.sh

Ne va cere un nume de utilizator și o parolă (utilizatorul nu trebuie să fie pe computerul dvs. Este doar pentru autentificare) Acum vom face următoarele.
Editamos el archivo "/etc/group»

și unde scrie "ossec:x:1001:"
O lăsăm așa: "ossec:x:1001:www-data"

Acum facem următoarele (în dosarul »/ var / www / ossec»

# chmod 770 tmp/
# chgrp www-data tmp/
# /etc/init.d/apache2 restart

Acum intrăm în OSSEC. În browserul nostru scriem. „Localhost / ossec”

Acum putem vedea ce se întâmplă pe serverul nostru prin jurnale.

INSTALăm FAIL2BAN

Fail2ban se află în depozite. Prin urmare, este ușor de instalat.
#apt-get install fail2ban
edităm
#nano /etc/fail2ban/jail.conf
Apăsăm CTRL-W și scriem ssh.
Va apărea ceva de genul:

Acest lucru ar permite failt2ban pentru SSH. (Dacă au schimbat portul ssh. Îl înlocuiesc) În același mod îl putem activa pentru ftp. apache și o multitudine de servicii. Acum îl vom face să ne trimită un e-mail când va vedea că cineva încearcă să acceseze. În /etc/fail2ban/jail.conf adăugăm.

[ssh-iptables] activat = true filter = sshd action = iptables [nume = SSH, port = ssh, protocol = tcp] sendmail-whois [nume = SSH, dest =tu@mail.com, expeditor = fail2ban @ mail.com] logpath = /var/log/sshd.log maxretry = 5

Acum repornim serverul.

# service fail2ban restart

După cum putem vedea în cele două JURNALE anterioare, mi-a arătat că au încercat de fapt să acceseze prin sshd cu parole eșuate.

Îmi spune sursa ip și o blochează. 🙂

În ceea ce priveşte


5 comentarii, lasă-le pe ale tale

Lasă comentariul tău

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *

*

*

  1. Responsabil pentru date: Miguel Ángel Gatón
  2. Scopul datelor: Control SPAM, gestionarea comentariilor.
  3. Legitimare: consimțământul dvs.
  4. Comunicarea datelor: datele nu vor fi comunicate terților decât prin obligație legală.
  5. Stocarea datelor: bază de date găzduită de Occentus Networks (UE)
  6. Drepturi: în orice moment vă puteți limita, recupera și șterge informațiile.

  1.   lusadi el a spus
    hace Ani 11

    Bun tuto, ca contribuție putem edita fișierul /etc/fail2ban/jail.conf
    pentru a personaliza multe opțiuni, inclusiv timpul maxim de interzicere, numărul de reîncercări.

    Vă mulțumim pentru contribuție.

    Răspunde la lusadi
  2.   josephp el a spus
    hace Ani 11

    În primul rând o postare foarte bună (și pe blog)! hehehe. Am vrut să văd dacă puteți face o postare sau ceva dedicat noii actualizări pe care Oracle tocmai a lansat-o din Java, sunt foarte nou în Linux (am linux mint 14) și nu știu cum să îl actualizez și, cu aceste defecte de securitate, este urgent să îl actualizați . În primul rând, mulțumesc! 😀

    Răspunde la josehp
    1.    @Jlcmux el a spus
      hace Ani 11

      În timp ce citeam acolo. Au trimis o actualizare pentru acea zi de 0, dar mulți spun că bug-ul persistă. Mai bine lăsați-l dezinstalat.

      Răspunde la @Jlcmux
  3.   spatiul tau el a spus
    hace Ani 11

    în special prefer să instalez ceva de genul că CSF are toate acestea integrate.

    Răspunde la tuespazio
  4.   pebelin el a spus
    hace Ani 11

    Mulțumesc. Voi ajunge cu OSSEC.
    De asemenea, folosesc serverul denyhosts împreună cu fail2ban. Face o treabă similară (în partea sshd) și, de asemenea, actualizează lista „copiilor răi” de pe un server central, unde putem, de asemenea, să aruncăm lista noastră neagră și să colaborăm astfel la crearea unor liste mai puternice.

    Răspunde la pebelino