如所承諾的那樣,我在這裡向您展示一些基本的安裝 OSSEC y Fail2ban。 通過這兩個程序,我打算保護一下Apache服務器和SSH。
維基百科:
OSSEC , 開源 基於主機的入侵檢測系統(IDS)。 它執行 日誌分析,完整性檢查, Windows註冊表 監控, rootkit的 檢測,基於時間的警報和主動響應。 它為大多數操作系統提供入侵檢測,包括 Linux, OpenBSD的, FreeBSD的, 的Mac OS X, 的Solaris 和 Windows。 它具有集中的跨平台體系結構,可以輕鬆地監視和管理多個系統。 它是由 丹尼爾·B·西德 並於2004年公開。
綜上所述。 OSSEC是一個入侵檢測程序,它通過日誌和警報檢查我們服務器的完整性。 因此,每次修改系統文件等時,它都會發送信號。
Fail2ban 是用以下語言編寫的應用程序 蟒蛇 用於防止系統中的入侵,這是基於與嘗試強行訪問的源的連接損失(塊連接)。 它是根據許可證分發的 GNU 通常可以在所有系統上使用 POSIX 與數據包控制系統或 火牆 本地。
總之,Fail2ban會“ bannea”或阻止那些嘗試失敗一定次數才能在我們的服務器上輸入服務的連接。
OSSEC。
我們去的官方頁面 OSSEC 然後我們下載LINUX版本。
然後我們下載GUI作為圖形環境。
現在,我們將安裝所有內容。
# tar -xvf ossec-hids-2.7.tar.gz
# aptitude install build-essential
現在我們安裝
# cd ossec-hids-2.7 && sudo ./install
接下來,您將遇到一系列問題。 仔細閱讀並遵循所有步驟。
當我完成編譯後,我們進行檢查。
# /var/ossec/bin/ossec-control start
如果一切順利,您將得到類似的東西。
如果您收到以下錯誤消息:»分析了OSSEC:測試規則失敗。 配置錯誤。 正在退出» 我們運行以下命令對其進行修復。
# ln -s /var/ossec/bin/ossec-logtest /var/ossec/ossec-logtest
圖形界面。
OSSEC的圖形界面通過Web進行。 如果您沒有安裝Apache。 我們安裝它。 以及對PHP的支持。
# apt-get install apache2 apache2-doc apache2-utils
# apt-get install libapache2-mod-php5 php5 php-pear php5-xcache
# apt-get install php5-suhosin
現在
# tar -xvf ossec-wui-0.3.tar.gz
現在,以ROOT身份移動文件夾。
# mv ossec-wui-0.3 /var/www/ossec
現在我們安裝。
# cd /var/www/ossec/ && ./setup.sh
它將要求我們提供用戶名和密碼(用戶不必在您的計算機上。僅用於登錄)現在我們將執行以下操作。
Editamos el archivo "/etc/group
»
它在哪裡說 "ossec:x:1001:"
我們這樣保留它: "ossec:x:1001:www-data"
現在,我們執行以下操作(在文件夾»/ var / www / ossec»中
# chmod 770 tmp/
# chgrp www-data tmp/
# /etc/init.d/apache2 restart
現在我們進入OSSEC。 在我們的瀏覽器中,我們編寫。 “ Localhost / ossec”
現在,我們可以通過日誌查看服務器上發生的情況。
我們安裝FAIL2BAN
Fail2ban在存儲庫中。 因此,易於安裝。
#apt-get install fail2ban
我們編輯
#nano /etc/fail2ban/jail.conf
我們按CTRL-W並編寫ssh。
它將顯示為:
這將為SSH啟用failt2ban。 (如果他們更改了ssh端口。則將其替換)。同樣,我們可以為ftp啟用它。 apache和多種服務。 現在,當他看到有人試圖訪問時,我們將使他發送電子郵件給我們。 在/etc/fail2ban/jail.conf中,我們添加了。
[ssh-iptables]已啟用=真過濾器= sshd操作= iptables [名稱= SSH,端口= ssh,協議= TCP] sendmail-whois [名稱= SSH,目的=你@mail.com,發件人= fail2ban @ mail.com] logpath = /var/log/sshd.log maxretry = 5
現在,我們重新啟動服務器。
# service fail2ban restart
正如我們在前兩個LOGS中看到的那樣,它向我展示了他們實際上已經嘗試通過sshd使用失敗的密碼進行訪問。
它告訴我源ip並阻止它。 🙂
問候
很好的tuto,作為貢獻,我們可以編輯/etc/fail2ban/jail.conf文件
自定義許多選項,包括最長禁止時間,重試次數。
感謝您的輸入。
首先是一個很好的帖子(還有博客)! 呵呵呵。 我想看看您是否可以發表帖子或專門討論Oracle剛剛從Java發布的新更新,我對Linux還是很陌生(我有linux mint 14),並且我不知道如何更新它,以及這種安全缺陷迫切需要對其進行更新。 首先,謝謝! 😀
當我在那看書時。 他們發送了該0天的更新,但許多人說該錯誤仍然存在。 最好將其卸載。
特別是我更喜歡安裝類似CSF的東西,並將其集成在一起。
謝謝。 我將使用OSSEC。
我還將denyhosts服務器與fail2ban一起使用。 它做了類似的工作(在sshd部分中),還從中央服務器更新了“壞孩子”的列表,我們還可以轉儲我們的黑名單,從而協作創建功能更強大的列表。