Как и было обещано, это долг, я пришел, чтобы показать вам несколько базовую установку OSSEC y Fail2ban. С помощью этих двух программ я намерен немного обезопасить сервер Apache и SSH.
Википедия:
OSSEC - это бесплатно, с открытым исходным кодом хост-система обнаружения вторжений (IDS). Он выполняет анализ журнала, проверка целостности, Реестре мониторинг, Руткит обнаружение, оповещение по времени и активный ответ. Он обеспечивает обнаружение вторжений для большинства операционных систем, включая Linux, OpenBSD, FreeBSD, Mac OS X, Solaris и Windows. Он имеет централизованную кроссплатформенную архитектуру, позволяющую легко контролировать и управлять несколькими системами. Это было написано Дэниел Б. Сид и обнародована в 2004 году.
В итоге. OSSEC - это детектор злоумышленников, который проверяет целостность нашего сервера с помощью журналов и сигналов тревоги. Таким образом, он отправляет сигнал каждый раз, когда изменяется системный файл и т. Д.
Fail2ban это приложение, написанное на Питон для предотвращения вторжений в систему, которая основана на штрафах за соединение (блокировка соединения) с источниками, которые пытаются получить доступ методом грубой силы. Распространяется по лицензии GNU и обычно работает во всех системах POSIX этот интерфейс с системой управления пакетами или брандмауэр Сайт.
Короче говоря, Fail2ban «баннеа» или блокирует соединения, которые безуспешно пытаются определенное количество раз войти в службу на нашем сервере.
ОССЕК.
Заходим на Официальную страницу OSSEC И скачиваем версию для LINUX.
И затем мы загружаем графический интерфейс, который является графической средой.
Теперь собираемся все установить.
# tar -xvf ossec-hids-2.7.tar.gz
# aptitude install build-essential
Теперь устанавливаем
# cd ossec-hids-2.7 && sudo ./install
Далее вы получите ряд вопросов. Прочтите очень хорошо и следуйте всем инструкциям.
Когда закончу компилировать, проверяем.
# /var/ossec/bin/ossec-control start
Если все прошло хорошо, получится что-то вроде.
Если вы получаете сообщение об ошибке, например: »OSSEC analysisd: Ошибка проверки правил. Ошибка конфигурации. Выход. » Мы запускаем следующее, чтобы исправить это.
# ln -s /var/ossec/bin/ossec-logtest /var/ossec/ossec-logtest
Графический интерфейс.
Графический интерфейс OSSEC работает через Интернет. Если у вас не установлен Apache. мы его устанавливаем. а также поддержка PHP.
# apt-get install apache2 apache2-doc apache2-utils
# apt-get install libapache2-mod-php5 php5 php-pear php5-xcache
# apt-get install php5-suhosin
Сейчас
# tar -xvf ossec-wui-0.3.tar.gz
Теперь как ROOT перемещаем папку.
# mv ossec-wui-0.3 /var/www/ossec
Теперь устанавливаем.
# cd /var/www/ossec/ && ./setup.sh
Он запросит у нас имя пользователя и пароль (пользователь не обязательно должен быть на вашем компьютере. Это только для входа в систему). Теперь мы собираемся сделать следующее.
Editamos el archivo "/etc/group
»
и где это говорит "ossec:x:1001:"
Оставляем так: "ossec:x:1001:www-data"
Теперь делаем следующее (внутри папки »/ var / www / ossec»
# chmod 770 tmp/
# chgrp www-data tmp/
# /etc/init.d/apache2 restart
Теперь входим в наш OSSEC. В нашем браузере пишем. "Localhost / ossec"
Теперь мы можем видеть, что происходит на нашем сервере через логи.
УСТАНАВЛИВАЕМ FAIL2BAN
Fail2ban находится в репозиториях. Поэтому его легко установить.
#apt-get install fail2ban
мы редактируем
#nano /etc/fail2ban/jail.conf
Нажимаем CTRL-W и пишем ssh.
Это будет выглядеть примерно так:
Это включит failt2ban для SSH. (Если они изменили порт ssh. Они заменяют его) Таким же образом мы можем включить его для ftp. apache и множество сервисов. Теперь мы заставим его отправить нам электронное письмо, когда он увидит, что кто-то пытается получить доступ. В /etc/fail2ban/jail.conf добавляем.
[ssh-iptables] enabled = true filter = sshd action = iptables [name = SSH, port = ssh, protocol = tcp] sendmail-whois [name = SSH, dest =you@mail.com, отправитель = fail2ban @ mail.com] logpath = /var/log/sshd.log maxretry = 5
Теперь перезапускаем сервер.
# service fail2ban restart
Как мы видим из двух предыдущих ЖУРНАЛОВ, он показывает мне, что они действительно пытались получить доступ по sshd с неудачными паролями.
Он сообщает мне исходный ip и блокирует его. 🙂
привет
Хороший туто, в качестве вклада мы можем отредактировать файл /etc/fail2ban/jail.conf
для настройки множества параметров, включая максимальное время бана, количество повторных попыток.
Спасибо за вклад.
Прежде всего, очень хороший пост (и блог тоже)! хехехе. Я хотел посмотреть, можете ли вы сделать сообщение или что-то, посвященное новому обновлению, которое Oracle только что выпустила для Java, я очень новичок в Linux (у меня есть linux mint 14), и я не знаю, как его обновить, и с это недостатки безопасности, его необходимо срочно обновить. Прежде всего, спасибо! 😀
Как я там читал. Они отправили обновление за этот 0-день, но многие говорят, что ошибка сохраняется. Лучше оставьте его неустановленным.
в частности, я предпочитаю установить что-то вроде CSF, в котором все это интегрировано.
Спасибо. Я собираюсь связаться с OSSEC.
Я также использую сервер denyhosts вместе с fail2ban. Он выполняет аналогичную работу (в части sshd), а также обновляет список «плохих детей» с центрального сервера, где мы также можем сбросить наш черный список и, таким образом, сотрудничать в создании более мощных списков.