在Debian上安装OSSEC和Fail2ban

@Jlcmux

3分钟

正如承诺的那样,这里我来向您展示一些基本的安装 OSSEC y Fail2ban。 通过这两个程序,我打算保护一下Apache服务器和SSH。

维基百科:
OSSEC 是一个 免费, 开放源码 基于主机的入侵检测系统(IDS)。 它执行 日志分析,完整性检查, Windows注册表 监测, rootkit的 检测,基于时间的警报和主动响应。 它为大多数操作系统提供入侵检测,包括 Linux, OpenBSD系统, FreeBSD的, Mac OS X的, 的SolarisWindows。 它具有集中的跨平台体系结构,可以轻松地监视和管理多个系统。 它是由 丹尼尔·B·西德 并于2004年公开。

综上所述。 OSSEC是入侵者检测器,它通过日志和警报检查我们服务器的完整性。 因此,每次修改系统文件等时,它都会发送信号。

Fail2ban 是用以下语言编写的应用程序 蟒蛇 用于防止系统中的入侵,这是基于与尝试强行访问的源的连接损失(块连接)。 它是根据许可证分发的 GNU 通常可以在所有系统上使用 POSIX 与数据包控制系统或 火墙 网站。

简而言之,Fail2ban会“ bannea”或阻止那些尝试失败一定次数才能在我们的服务器上输入服务的连接。

OSSEC。

我们去的官方页面 OSSEC 然后我们下载LINUX版本。

然后我们下载GUI作为图形环境。

现在,我们将安装所有内容。

# tar -xvf ossec-hids-2.7.tar.gz
# aptitude install build-essential

现在我们安装

# cd ossec-hids-2.7 && sudo ./install

接下来,您将遇到一系列问题。 仔细阅读并遵循所有步骤。
当我完成编译后,我们进行检查。

# /var/ossec/bin/ossec-control start

如果一切顺利,您将得到类似的东西。

如果您收到以下错误消息:»分析了OSSEC:测试规则失败。 配置错误。 退出» 我们运行以下命令对其进行修复。

# ln -s /var/ossec/bin/ossec-logtest /var/ossec/ossec-logtest

图形界面。

OSSEC的图形界面通过Web进行。 如果您没有安装Apache。 我们安装它。 以及对PHP的支持。

# apt-get install apache2 apache2-doc apache2-utils
# apt-get install libapache2-mod-php5 php5 php-pear php5-xcache
# apt-get install php5-suhosin

现在

# tar -xvf ossec-wui-0.3.tar.gz

现在,以ROOT身份移动文件夹。

# mv ossec-wui-0.3 /var/www/ossec

现在我们安装。

# cd /var/www/ossec/ && ./setup.sh

它将要求我们提供用户名和密码(用户不必在您的PC上。仅用于登录)现在我们将执行以下操作。
Editamos el archivo "/etc/group»

它在哪里说 "ossec:x:1001:"
我们这样保留它: "ossec:x:1001:www-data"

现在,我们执行以下操作(在文件夹»/ var / www / ossec»中

# chmod 770 tmp/
# chgrp www-data tmp/
# /etc/init.d/apache2 restart

现在我们进入OSSEC。 在我们的浏览器中,我们编写。 “ Localhost / ossec”

现在,我们可以通过日志查看服务器上发生的情况。

我们安装FAIL2BAN

Fail2ban在存储库中。 因此,易于安装。
#apt-get install fail2ban
我们编辑
#nano /etc/fail2ban/jail.conf
我们按CTRL-W并编写ssh。
它将显示为:

这将为SSH启用failt2ban。 (如果他们更改了ssh端口。则将其替换)。同样,我们可以为ftp启用它。 apache和大量服务。 现在,当他看到有人尝试访问时,我们将使他发送电子邮件给我们。 在/etc/fail2ban/jail.conf中,我们添加了。

[ssh-iptables]已启用=真过滤器= sshd操作= iptables [名称= SSH,端口= ssh,协议= TCP] sendmail-whois [名称= SSH,目的=你@mail.com,发件人= fail2ban @ mail.com] logpath = /var/log/sshd.log maxretry = 5

现在,我们重新启动服务器。

# service fail2ban restart

正如我们在前两个LOGS中看到的那样,它向我展示了他们实际上已经尝试通过sshd使用失败的密码进行访问。

它告诉我源ip并阻止它。 🙂

问候


发表您的评论

您的电子邮件地址将不会被发表。 必填字段标有 *

*

*

  1. 负责数据:MiguelÁngelGatón
  2. 数据用途:控制垃圾邮件,注释管理。
  3. 合法性:您的同意
  4. 数据通讯:除非有法律义务,否则不会将数据传达给第三方。
  5. 数据存储:Occentus Networks(EU)托管的数据库
  6. 权利:您可以随时限制,恢复和删除您的信息。

  1.   卢萨迪
    11年

    好的tuto,作为贡献,我们可以编辑/etc/fail2ban/jail.conf文件
    自定义许多选项,包括最长禁止时间,重试次数。

    感谢您的输入。

    回复lusadi
  2.   约瑟夫
    11年

    首先是一个很好的帖子(还有博客)! 呵呵呵。 我想看看您是否可以发表帖子或专门讨论Oracle刚刚从Java发布的新更新,我对Linux还是很陌生(我有linux mint 14),并且我不知道如何更新它,以及这种安全缺陷迫切需要对其进行更新。 首先,谢谢! 😀

    回复josehp
    1.    @jlcmux
      11年

      当我在那看书时。 他们发送了该0天的更新,但许多人说该错误仍然存​​在。 最好将其卸载。

      回复@Jlcmux
  3.   图斯帕齐奥
    11年

    特别是我更喜欢安装类似CSF的东西,并将其集成在一起。

    回复tuespazio
  4.   佩贝利诺
    11年

    谢谢。 我将使用OSSEC。
    我还将denyhosts服务器与fail2ban一起使用。 它做了类似的工作(在sshd部分中),并且还从中央服务器更新了“坏孩子”的列表,我们还可以转储我们的黑名单,从而协作创建功能更强大的列表。

    回复pebelino