Установка OSSEC и Fail2ban на Debian

Как и было обещано, это долг, я пришел, чтобы показать вам несколько базовую установку OSSEC y Fail2ban. С помощью этих двух программ я намерен немного обезопасить сервер Apache и SSH.

Википедия:
OSSEC - это бесплатные, с открытым исходным кодом хост-система обнаружения вторжений (IDS). Он выполняет анализ журнала, проверка целостности, Реестре мониторинг, Руткит обнаружение, оповещение по времени и активный ответ. Он обеспечивает обнаружение вторжений для большинства операционных систем, включая Linux, OpenBSD, FreeBSD, Mac OS X, Solaris и Windows. Он имеет централизованную кроссплатформенную архитектуру, позволяющую легко контролировать и управлять несколькими системами. Это было написано Дэниел Б. Сид и обнародована в 2004 году.

В итоге. OSSEC - это детектор злоумышленников, который проверяет целостность нашего сервера с помощью журналов и сигналов тревоги. Таким образом, он отправляет сигнал каждый раз, когда изменяется системный файл и т. Д.

Fail2ban это приложение, написанное на Питон для предотвращения вторжений в систему, которая основана на штрафах за соединение (блокировка соединения) с источниками, которые пытаются получить доступ методом грубой силы. Распространяется по лицензии GNU и обычно работает во всех системах POSIX этот интерфейс с системой управления пакетами или брандмауэр Сайт.

Короче говоря, Fail2ban «баннеа» или блокирует соединения, которые безуспешно пытаются определенное количество раз войти в службу на нашем сервере.

OSSEC.

Заходим на Официальную страницу OSSEC И скачиваем версию для LINUX.

И затем мы загружаем графический интерфейс, который является графической средой.

Теперь собираемся все установить.

# tar -xvf ossec-hids-2.7.tar.gz
# aptitude install build-essential

Теперь устанавливаем

# cd ossec-hids-2.7 && sudo ./install

Далее вы получите ряд вопросов. Прочтите очень хорошо и следуйте всем инструкциям.
Когда закончу компилировать, проверяем.

# /var/ossec/bin/ossec-control start

Если все прошло хорошо, получится что-то вроде.

Если вы получаете сообщение об ошибке, например: »OSSEC analysisd: Ошибка проверки правил. Ошибка конфигурации. Выход. » Мы запускаем следующее, чтобы исправить это.

# ln -s /var/ossec/bin/ossec-logtest /var/ossec/ossec-logtest

Графический интерфейс.

Графический интерфейс OSSEC работает через Интернет. Если у вас не установлен Apache. мы его устанавливаем. а также поддержка PHP.

# apt-get install apache2 apache2-doc apache2-utils
# apt-get install libapache2-mod-php5 php5 php-pear php5-xcache
# apt-get install php5-suhosin

Сейчас

# tar -xvf ossec-wui-0.3.tar.gz

Теперь как ROOT перемещаем папку.

# mv ossec-wui-0.3 /var/www/ossec

Теперь устанавливаем.

# cd /var/www/ossec/ && ./setup.sh

Он запросит у нас имя пользователя и пароль (пользователь не обязательно должен быть на вашем компьютере. Это только для входа в систему). Теперь мы собираемся сделать следующее.
Editamos el archivo "/etc/group»

и где это говорит "ossec:x:1001:"
Оставляем так: "ossec:x:1001:www-data"

Теперь делаем следующее (внутри папки »/ var / www / ossec»

# chmod 770 tmp/
# chgrp www-data tmp/
# /etc/init.d/apache2 restart

 

Теперь входим в наш OSSEC. В нашем браузере пишем. "Localhost / ossec"

 

Теперь мы можем видеть, что происходит на нашем сервере через логи.

 

 

УСТАНАВЛИВАЕМ FAIL2BAN

Fail2ban находится в репозиториях. Поэтому его легко установить.
#apt-get install fail2ban
мы редактируем
#nano /etc/fail2ban/jail.conf
Нажимаем CTRL-W и пишем ssh.
Это будет выглядеть примерно так:

Это включит failt2ban для SSH. (Если они изменили порт ssh. Они заменяют его) Таким же образом мы можем включить его для ftp. apache и множество сервисов. Теперь мы заставим его отправить нам электронное письмо, когда он увидит, что кто-то пытается получить доступ. В /etc/fail2ban/jail.conf добавляем.

[ssh-iptables] enabled = true filter = sshd action = iptables [name = SSH, port = ssh, protocol = tcp] sendmail-whois [name = SSH, dest =you@mail.com, отправитель = fail2ban @ mail.com] logpath = /var/log/sshd.log maxretry = 5

Теперь перезапускаем сервер.

# service fail2ban restart

 

Как мы видим из двух предыдущих ЖУРНАЛОВ, он показывает мне, что они действительно пытались получить доступ по sshd с неудачными паролями.

Он сообщает мне исходный ip и блокирует его. 🙂

 

привет


Содержание статьи соответствует нашим принципам редакционная этика. Чтобы сообщить об ошибке, нажмите здесь.

5 комментариев, оставьте свой

Оставьте свой комментарий

Ваш электронный адрес не будет опубликован. Обязательные для заполнения поля помечены *

*

*

  1. Ответственный за данные: Мигель Анхель Гатон
  2. Назначение данных: контроль спама, управление комментариями.
  3. Легитимация: ваше согласие
  4. Передача данных: данные не будут переданы третьим лицам, кроме как по закону.
  5. Хранение данных: база данных, размещенная в Occentus Networks (ЕС)
  6. Права: в любое время вы можете ограничить, восстановить и удалить свою информацию.

  1.   лушади сказал

    Хороший туто, в качестве вклада мы можем отредактировать файл /etc/fail2ban/jail.conf
    для настройки множества параметров, включая максимальное время бана, количество повторных попыток.

    Спасибо за вклад.

  2.   Josehp сказал

    Прежде всего, очень хороший пост (и блог тоже)! хехехе. Я хотел посмотреть, можете ли вы сделать сообщение или что-то, посвященное новому обновлению, которое Oracle только что выпустила для Java, я очень новичок в Linux (у меня есть linux mint 14), и я не знаю, как его обновить, и с это недостатки безопасности, его необходимо срочно обновить. Прежде всего, спасибо! 😀

    1.    @Jlcmux сказал

      Как я там читал. Они отправили обновление за этот 0-день, но многие говорят, что ошибка сохраняется. Лучше оставьте его неустановленным.

  3.   Tuespazio сказал

    в частности, я предпочитаю установить что-то вроде CSF, в котором все это интегрировано.

  4.   Pebelino сказал

    Спасибо. Я собираюсь связаться с OSSEC.
    Я также использую сервер denyhosts вместе с fail2ban. Он выполняет аналогичную работу (в части sshd), а также обновляет список «плохих детей» с центрального сервера, где мы также можем сбросить наш черный список и, таким образом, сотрудничать в создании более мощных списков.