Siç është premtuar borxhi, këtu unë vij të ju tregoj një instalim disi themelor të OSSEC y fail2ban. Me këto dy programe kam ndërmend të siguroj pak, një server Apache dhe SSH.
Wikipedia:
OSSEC është një falas, burim të hapur sistemi i zbulimit të ndërhyrjeve me bazë host (IDS). Ajo kryen analiza e regjistrit, kontrolli i integritetit, Regjistri i Windows monitorimit, rootkit zbulimi, paralajmërimi i bazuar në kohë dhe përgjigja aktive. Ai siguron zbulimin e ndërhyrjeve për shumicën e sistemeve operative, duke përfshirë Linux, OpenBSD, FreeBSD, Mac OS X, Solaris Dritaret. Ajo ka një arkitekturë të centralizuar, ndër-platformë që lejon shumë sisteme të monitorohen dhe menaxhohen lehtësisht. Shtë shkruar nga Daniel B Cid dhe u bë publike në 2004.
Në mënyrë të përmbledhur. OSSEC është një detektor ndërhyrës që kontrollon integritetin e serverit tonë përmes shkrimeve dhe alarmeve. Pra, ai dërgon një sinjal sa herë që një skedar i sistemit modifikohet etj.
fail2ban është një aplikacion i shkruar në Piton për parandalimin e ndërhyrjeve në një sistem, i cili bazohet në ndëshkimin e lidhjes (lidhje bllok) me burimet që përpiqen hyrjen e forcës brutale. Shpërndahet nën licencë GNU dhe zakonisht punon në të gjitha sistemet POSIX atë ndërfaqe me një sistem të kontrollit të paketave ose a firewall Lokale.
Në përmbledhje, Fail2ban "bannea" ose bllokon lidhjet që përpiqen pa sukses disa herë për të hyrë në një shërbim në serverin tonë.
OSSEC.
Ne shkojmë në faqen zyrtare të OSSEC Dhe ne shkarkojmë versionin LINUX.
Dhe më pas shkarkojmë GUI i cili si ambient grafik.
Tani do të instalojmë gjithçka.
# tar -xvf ossec-hids-2.7.tar.gz
# aptitude install build-essential
Tani ne instalojmë
# cd ossec-hids-2.7 && sudo ./install
Tjetra, do të merrni një seri pyetjesh. Lexoni shumë mirë dhe ndiqni të gjitha hapat.
Kur të përfundoj përpilimin ne kontrollojmë.
# /var/ossec/bin/ossec-control start
Nëse gjithçka shkon mirë, do të merrni diçka të ngjashme.
Nëse merrni një mesazh gabimi si: »Analiza OSSEC: Rregullat e testimit dështuan. Gabim në konfigurim. Po del. » Ne ekzekutojmë sa vijon për ta rregulluar atë.
# ln -s /var/ossec/bin/ossec-logtest /var/ossec/ossec-logtest
Ndërfaqja grafike.
Ndërfaqja grafike e OSSEC kalon përmes internetit. Nëse nuk e keni të instaluar Apache. ne e instalojmë atë. dhe mbështetje për PHP gjithashtu.
# apt-get install apache2 apache2-doc apache2-utils
# apt-get install libapache2-mod-php5 php5 php-pear php5-xcache
# apt-get install php5-suhosin
tani
# tar -xvf ossec-wui-0.3.tar.gz
Tani si ROOT ne lëvizim dosjen.
# mv ossec-wui-0.3 /var/www/ossec
Tani kemi instaluar.
# cd /var/www/ossec/ && ./setup.sh
Do të na kërkojë një emër përdoruesi dhe fjalëkalim (përdoruesi nuk duhet të jetë në kompjuterin tuaj. Isshtë vetëm për hyrje) Tani ne do të bëjmë sa më poshtë.
Editamos el archivo "/etc/group»
dhe ku thuhet "ossec:x:1001:"
E lëmë kështu: "ossec:x:1001:www-data"
Tani bëjmë sa vijon (brenda dosjes »/ var / www / ossec»
# chmod 770 tmp/
# chgrp www-data tmp/
# /etc/init.d/apache2 restart
Tani ne hyjmë në OSSEC. Në shfletuesin tonë ne shkruajmë. "Localhost / ossec"
Tani mund të shohim se çfarë ndodh në serverin tonë përmes shkrimeve.
INSTALOJM FA FAIL2BAN
Fail2ban është në depo. Prandaj është e lehtë për tu instaluar.
#apt-get install fail2ban
ne redaktojmë
#nano /etc/fail2ban/jail.conf
Ne shtypim CTRL-W dhe shkruajmë ssh.
Do të shfaqet diçka si:
Kjo do të mundësonte failt2ban për SSH. (Nëse ata kanë ndryshuar portin ssh. Ata e zëvendësojnë atë) Në të njëjtën mënyrë ne mund ta aktivizojmë atë për ftp. apache dhe një mori shërbimesh. Tani ne do ta bëjmë atë të na dërgojë një email kur të shohë se dikush po përpiqet të hyjë. Në /etc/fail2ban/jail.conf shtojmë.
[ssh-iptables] aktivizuar = filtër i vërtetë = veprim sshd = iptables [name = SSH, port = ssh, protokol = tcp] sendmail-whois [name = SSH, dest =ju@mail.com, dërguesi = fail2ban @ mail.com] logpath = /var/log/sshd.log maxretry = 5
Tani ne rifillojmë serverin.
# service fail2ban restart
Siç mund ta shohim në dy LOGS të mëparshme më tregon se ata në të vërtetë janë përpjekur të hyjnë nga sshd me fjalëkalime të dështuara.
Më tregon ip-in e burimit dhe e bllokon. 🙂
të fala
Tuto mirë, si kontribut mund të editojmë skedarin /etc/fail2ban/jail.conf
për të personalizuar shumë opsione, përfshirë kohën maksimale të ndalimit, numrin e riprovimeve.
Faleminderit për kontributin
Së pari një postim shumë i mirë (dhe blog gjithashtu)! hehehe Doja të shihja nëse mund të bëni një postim apo diçka kushtuar azhurnimit të ri që Oracle sapo ka lëshuar nga Java, unë jam shumë i ri në Linux (kam linux mint 14) dhe nuk di si ta azhurnoj, dhe me kjo e metë e sigurisë është urgjente të azhurnohet. Së pari, Faleminderit! 😀
Ndërsa lexoja atje. Ata dërguan një azhurnim për atë 0-ditë, por shumë thonë se e meta vazhdon. Më mirë lëreni të çinstaluar.
në veçanti preferoj të instaloj diçka si CSF i ka integruar të gjitha këto.
Faleminderit. Unë jam duke shkuar për të marrë me OSSEC.
Unë gjithashtu përdor serverin denyhosts së bashku me fail2ban. Bën një punë të ngjashme (në pjesën sshd) dhe gjithashtu azhurnon listën e 'fëmijëve të këqij' nga një server qendror ku ne gjithashtu mund të hedhim listën tonë të zezë dhe kështu të bashkëpunojmë në krijimin e listave më të fuqishme.