在Debian上安裝OSSEC和Fail2ban

@Jlcmux

3 Minutos

如所承諾的那樣,我在這裡向您展示一些基本的安裝 OSSEC y Fail2ban。 通過這兩個程序,我打算保護一下Apache服務器和SSH。

維基百科:
OSSEC , 開源 基於主機的入侵檢測系統(IDS)。 它執行 日誌分析,完整性檢查, Windows註冊表 監控, rootkit的 檢測,基於時間的警報和主動響應。 它為大多數操作系統提供入侵檢測,包括 Linux, OpenBSD的, FreeBSD的, 的Mac OS X, 的SolarisWindows。 它具有集中的跨平台體系結構,可以輕鬆地監視和管理多個系統。 它是由 丹尼爾·B·西德 並於2004年公開。

綜上所述。 OSSEC是一個入侵檢測程序,它通過日誌和警報檢查我們服務器的完整性。 因此,每次修改系統文件等時,它都會發送信號。

Fail2ban 是用以下語言編寫的應用程序 蟒蛇 用於防止系統中的入侵,這是基於與嘗試強行訪問的源的連接損失(塊連接)。 它是根據許可證分發的 GNU 通常可以在所有系統上使用 POSIX 與數據包控制系統或 火牆 本地。

總之,Fail2ban會“ bannea”或阻止那些嘗試失敗一定次數才能在我們的服務器上輸入服務的連接。

OSSEC。

我們去的官方頁面 OSSEC 然後我們下載LINUX版本。

然後我們下載GUI作為圖形環境。

現在,我們將安裝所有內容。

# tar -xvf ossec-hids-2.7.tar.gz
# aptitude install build-essential

現在我們安裝

# cd ossec-hids-2.7 && sudo ./install

接下來,您將遇到一系列問題。 仔細閱讀並遵循所有步驟。
當我完成編譯後,我們進行檢查。

# /var/ossec/bin/ossec-control start

如果一切順利,您將得到類似的東西。

如果您收到以下錯誤消息:»分析了OSSEC:測試規則失敗。 配置錯誤。 正在退出» 我們運行以下命令對其進行修復。

# ln -s /var/ossec/bin/ossec-logtest /var/ossec/ossec-logtest

圖形界面。

OSSEC的圖形界面通過Web進行。 如果您沒有安裝Apache。 我們安裝它。 以及對PHP的支持。

# apt-get install apache2 apache2-doc apache2-utils
# apt-get install libapache2-mod-php5 php5 php-pear php5-xcache
# apt-get install php5-suhosin

現在

# tar -xvf ossec-wui-0.3.tar.gz

現在,以ROOT身份移動文件夾。

# mv ossec-wui-0.3 /var/www/ossec

現在我們安裝。

# cd /var/www/ossec/ && ./setup.sh

它將要求我們提供用戶名和密碼(用戶不必在您的計算機上。僅用於登錄)現在我們將執行以下操作。
Editamos el archivo "/etc/group»

它在哪裡說 "ossec:x:1001:"
我們這樣保留它: "ossec:x:1001:www-data"

現在,我們執行以下操作(在文件夾»/ var / www / ossec»中

# chmod 770 tmp/
# chgrp www-data tmp/
# /etc/init.d/apache2 restart

現在我們進入OSSEC。 在我們的瀏覽器中,我們編寫。 “ Localhost / ossec”

現在,我們可以通過日誌查看服務器上發生的情況。

我們安裝FAIL2BAN

Fail2ban在存儲庫中。 因此,易於安裝。
#apt-get install fail2ban
我們編輯
#nano /etc/fail2ban/jail.conf
我們按CTRL-W並編寫ssh。
它將顯示為:

這將為SSH啟用failt2ban。 (如果他們更改了ssh端口。則將其替換)。同樣,我們可以為ftp啟用它。 apache和多種服務。 現在,當他看到有人試圖訪問時,我們將使他發送電子郵件給我們。 在/etc/fail2ban/jail.conf中,我們添加了。

[ssh-iptables]已啟用=真過濾器= sshd操作= iptables [名稱= SSH,端口= ssh,協議= TCP] sendmail-whois [名稱= SSH,目的=你@mail.com,發件人= fail2ban @ mail.com] logpath = /var/log/sshd.log maxretry = 5

現在,我們重新啟動服務器。

# service fail2ban restart

正如我們在前兩個LOGS中看到的那樣,它向我展示了他們實際上已經嘗試通過sshd使用失敗的密碼進行訪問。

它告訴我源ip並阻止它。 🙂

問候


發表您的評論

您的電子郵件地址將不會被發表。 必填字段標有 *

*

*

  1. 負責數據:MiguelÁngelGatón
  2. 數據用途:控制垃圾郵件,註釋管理。
  3. 合法性:您的同意
  4. 數據通訊:除非有法律義務,否則不會將數據傳達給第三方。
  5. 數據存儲:Occentus Networks(EU)託管的數據庫
  6. 權利:您可以隨時限制,恢復和刪除您的信息。

  1.   盧薩迪 他說:
    11年

    很好的tuto,作為貢獻,我們可以編輯/etc/fail2ban/jail.conf文件
    自定義許多選項,包括最長禁止時間,重試次數。

    感謝您的輸入。

    回复lusadi
  2.   約瑟夫 他說:
    11年

    首先是一個很好的帖子(還有博客)! 呵呵呵。 我想看看您是否可以發表帖子或專門討論Oracle剛剛從Java發布的新更新,我對Linux還是很陌生(我有linux mint 14),並且我不知道如何更新它,以及這種安全缺陷迫切需要對其進行更新。 首先,謝謝! 😀

    回复josehp
    1.    @jlcmux 他說:
      11年

      當我在那看書時。 他們發送了該0天的更新,但許多人說該錯誤仍然存在。 最好將其卸載。

      回复@Jlcmux
  3.   圖斯帕齊奧 他說:
    11年

    特別是我更喜歡安裝類似CSF的東西,並將其集成在一起。

    回复tuespazio
  4.   佩貝利諾 他說:
    11年

    謝謝。 我將使用OSSEC。
    我還將denyhosts服務器與fail2ban一起使用。 它做了類似的工作(在sshd部分中),還從中央服務器更新了“壞孩子”的列表,我們還可以轉儲我們的黑名單,從而協作創建功能更強大的列表。

    回复pebelino