Hangi otomatik izinsiz giriş bildirimi / tespiti ayarları, ev masaüstü kullanımı için iyidir?


27

Uzun zamandır Linux kullanıyorum ve her zaman tarama, başarısız oturum açma girişimi vb. Gibi şüpheli ağ etkinlikleri hakkında beni e-postayla veya e-posta yoluyla uyaran bir pasif yazılım / komut dosyası kurulumuna ihtiyaç duyduğumu hissediyorum. görsel / sesli bildirimler.

Tomruklardan ve eşyalardan nasıl bakılacağını biliyorum, fakat çoğunlukla manuel, zaman alan bir işlem. Bazı iyi günlük ayrıştırma yetenekleri ile yarı / tamamen otomatik bir şey arıyorum.

Snort, vb. Gibi ağları izlemek için kullanılan IDS sistemlerinin farkındayım, ancak ortalama bir ev kullanıcısı ve kalkıp çalışmaya başlamak için acı veren bir süreç.

Ev kullanıcısı olarak benim için iyi bir seçenek nedir?


'Pasif'i nasıl tanımlarsın? İçinde olduğu gibi, arada bir balık sürüp bitmediğini görmek için kendinize koştuğunuz bir şey?
Nanne

Yanıtlar:


15

Basit ve etkili bir genel çözüm logcheck kullanmaktır .

sudo apt-get install logcheck
[edit /etc/logcheck/logcheck.conf to your liking]

logcheck düzenli aralıklarla tüm günlükleri verimli bir şekilde tarar (son kez bıraktığı yerden başlayarak), normal kabul edilen herhangi bir şeyi ortadan kaldırmak için gördüklerini filtreler ve isteğe bağlı olarak normal / rutin desenlerle eşleşmeyen herhangi bir şey ile uyarıları e-postayla gönderir.

Böylece ana fikri, izlemek aşımı için günlük dosyalarında herhangi bir ciddi girişlerin görünüm için, hepsi, her zaman olduğu sen gerekmez.

logcheck yapılandırılabilir (man logcheck). Aşağıdakiler dahil her şeyi yapılandırabilirsiniz:

  • çeklerin sıklığı
  • hangi günlük dosyaları kontrol edilir
  • normal değil, vs değil
  • Uyarıları nereye (anormal olaylarla) e-postayla

ve dahası. İgnore (normal / rutin) şablonlarınız /etc/logcheck/ignore.d.* altındaki birden fazla dosyada bulunur ve bunları ihtiyaçlarınıza göre özelleştirebilirsiniz; temelde yoksaymak için kendi desenlerinizi eklemek isteyebilirsiniz. Varsayılan Ubuntu paketi, zaten birçok hizmet için yoksayıcı modellere sahip geniş bir dosya grubuyla birlikte gelir; bu nedenle, sisteminizin çalıştığı sistemde olağandışı olmadığı sürece eklenecek bir şey yoktur. Önceden yapılandırılmış 3 tane yoksayılmış dosya profili vardır: ignore.d.workstation , ignore.d.server ve seçebileceğiniz ignore.d.paranoid .

Logcheck'in arkasındaki ana fikir , bir sistem üzerinde çalışan çeşitli servislerin zaten anormal olaylar kaydettiğidir. Örneğin, sshd veya pam zaten kimlik doğrulama hatalarını kaydeder. Yani ana eksik bileşenler:

  • normal olanı filtrelemek
  • uyarı hizmeti

Her ikisi de uygun bir pakette logcheck tarafından sağlanmaktadır . Logcheck'i diğer günlüklerle birleştirebilirsiniz . Örneğin iptables , kuralları ekleyerek açıkça izin verilmeyen tüm ağ bağlantı girişimlerini syslog olarak yapılandırmak için yapılandırılabilir :

 iptables -A input -j LOG
 iptables -A input -j DROP

tüm izin kurallarından hemen sonra.

Ben bulmak logcheck çok daha yararlı olmaya logwatch normal aktivite olarak kabul ne görmezden kurallar çok sayıda paketlenmiş önceden gelir çünkü (diğer yanıtlar önerilen). Sonuç, e-postayla uyardığı alarmlarda çok daha yüksek bir sinyal / gürültü oranıdır. YMMV.

Bir diğer avantajı logcheck o olmasıdır dik günlükleri, yani fonksiyonun hiçbir çoğaltılması var ki herhangi bir servise. syslogOlayları günlüğe kaydetmek için kullanılan, anormal olan veya olmayan yeni bir hizmet eklediğinizde , altındaki herhangi bir dosyaya /var/logotomatik olarak uyarılar almaya başlar.

NASIL:

Yana logcheckzaten önceden geliyor, bu cevabın üstündeki iki satır aslında tüm Başlamak için gerek kapsamaktadır. Sadece kurun ve üst yapılandırma dosyasına göz /etc/logcheck/logcheck.confatın: e-posta adresinizi değiştirmek için e logcheck-postalarınızı size bildirir.

İşte ikinci adımda daha detaylı bir şekilde giden dostça bir referans . Ubuntu, Debian'ı temel aldığından, bu talimatların Ubuntu'da da çalışması gerekir. İşte bir başka iyi referans .

Kurduktan sonra sürekli iyileştirme işlemi başlar. Zamanla, zaten bildiğiniz ve endişelenmemesi gereken şeyleri görmezden gelmek için kurallarınızı geliştirirsiniz. Bu ayrıntılandırma işlemi, favori metin düzenleyicinizdeki bir dosyaya metin satırları eklemek kadar basittir.

Bir yoksayma dosyasındaki her satır genişletilmiş bir düzenli ifadedir (bkz. man 7 regex), Ancak yoksaymak istediğiniz günlük satırına uyduğu sürece basit dizeler kullanabilirsiniz. Sadece karakterler gibi hatırlıyorum *, ?'+', [], ()aslında günlük hatları görünür eğer öyleyse, ters eğik çizgi onları kaçmak zorunda kalacak, normal ifadede özel olan \dosyaları görmezden içinde.

Başka bir deyişle: almak istemediğiniz bir uyarı alırsanız, size e-postayla gönderilen günlük satırına bakın ve seçtiğiniz herhangi bir yoksayma dosyasına tek bir satır olarak eşleşen bir desen ekleyin. /etc/logcheck/ignore.d.<yourloglevel>/my-ignoresKişisel görmezden dosya olarak kullanmanızı öneririm . Nerede <yourloglevel>biridir paranoid, serverya da workstation(zaten ana yapılandırma dosyasında seçtiğiniz olarak: /etc/logcheck/logcheck.conf). İşlem kimlikleri veya zaman damgaları gibi her zaman değişen metnin nasıl hesaplanacağını görmek için diğer yoksayma dosyalarındaki örneklere bakın. Öğrenilecek çok sayıda örnek var.

Son bir ipucu: Yeni kuralları test etmek için çok kullanışlı olan ve logcheckadı verilen küçük faydalı bir yardımcı programla birlikte gelir logcheck-test. man logcheck-testdetaylar için.


Merhaba, logcheck'in arkasındaki fikri sevdim ... lütfen beni bunun için derinlemesine bir rehbere götürebilir misiniz? Thanks :)
irenicus09

1
@ irenicus09: Sadece başvuru için isteğe bağlı bir bağlantı ile nasıl yapılır bölümüne eklendi.
arielf

Ödül kazandığın için tebrikler, çok iyi yazılmış cevap adamı. Thanks :)
irenicus09

3

Ağınızda çok fazla sisteminiz yoksa, Snort gibi bir IDS ayarlamak muhtemelen aşırı derecede önemlidir (özellikle makinenizde herhangi bir şebeke servisi yoksa). Sisteminizde neler olup bittiğine dair bir rapor göndermek için logwatch'ı yapılandırmaya başlamanızı öneririm. Bunu yaptıktan sonra, sistem günlüğünüzü mümkün olduğunca alakalı bilgiler alacak şekilde yapılandırın.


Merhaba, cevabınızı beğendim ... ama bunun nasıl yapılacağı hakkında biraz daha bilgi paylaşır mısınız? Yapılandırmalarla uğraşmak, özellikle deneyimsiz bir kullanıcı için oldukça zor olabilir. Ama bunun için beni derinlemesine bir rehbere işaret edebilirseniz sevinirim. Teşekkürler.
irenicus09

@ irenicus09 Bunun yeterli olması gerektiğini düşünüyorum: Ubuntu tabanlı sistemlerde Logwatch nasıl kurulur
AndrewX192 20.03.2013

rehber için teşekkürler, başarıyla logwatch kurulumu yaptım ve hoşuma gitti. Bağlantı noktası tarama monitörü için ayrıca portentry de ayarlarım ve hangisinin benim için en iyisi
olduğuna karar

1

İzinsiz giriş tespiti, ağınızda servisler (ftp, web, nfs, ssh vb.) Çalıştırdığınızda kesin olarak gereklidir. Bunun nedeni internete maruz kalmaları ve şunlar nedeniyle:

  • bayan yapılandırma
  • yazılım açıkları

deneyimli bir ağ yöneticisi tarafından günlük izlemeye ihtiyaçları var. Bu hizmetleri kullanıyorsanız, bu sorunların nasıl önlenebileceği konusunda muhtemelen en az bilgiye sahipsiniz.

Bu hizmetlerden hiçbirini çalıştırmazsanız, İnternet yönlendiricinizin güvenlik duvarı, bağlantı noktalarında gelen herhangi bir bağlantıyı zaten engelledi. Ağ yönlendiricinizi taramak için

Hepiniz yeşilseniz, hepiniz iyisiniz.

Son fakat en az değil, muhtemelen yönlendiricinizin yerleşik İzinsiz Giriş algılama sistemi vardır (çünkü tüm yönlendiricilerin% 99'u çizgili bir linux sunucusu çalıştırır). Bunun için yönlendirici üreticisinin kullanım kılavuzunu kontrol etmeniz gerekir.


Merhaba, cevabınız için teşekkürler. Bu oldukça anlayışlı ve konuştuğunuz her şeyin farkındayım. Ancak, demek istediğim, sistemimde çeşitli hizmetler çalıştığımı, etkinlikleri güvenlik açısından tam olarak nasıl izlerim diyelim. Bir ev kullanıcısı olarak basit, kullanımı kolay bir çözüme ihtiyacım var ve bu bölümden
kaçtığınızı
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.