誰かがLinuxサーバーにハッキングしようとした場合、どうすれば通知できますか?
Linuxサーバーが何らかのハッキングの試みやサービス攻撃を受けている場合は、メールで通知を受け取りたいのですが。疑わしいアクティビティを監視し、そのアクティビティのレポートを電子メールアドレスに送信できるオールインワンソリューションはありますか?
攻撃が心配な場合は、単純な監視だけでは不十分です。午前2時、または時間外で眠っているときに攻撃が発生したと想像してみてください。メールをチェックする前に、パスワードをいくつ推測できますか?
あまりにも多くの気。 fail2ban および他のプログラムは、あなたが求めているポリシーを自動化します。 Logwatchは異常な動作を探すことができますが、主にログに記録されたエラーを検出することを目的としています。
OSSECが言及されていないことに驚いています。これは別のホストベースのIDSです。
ossec.net
ジョシュ
logwatch を使用してログ監視を行い、疑わしいログインアクティビティを探します。私はシステムをかなり厳しくロックダウンしているので、セキュリティオフィスが定期的にスキャンを行っているのをほとんど「キャッチ」しています。 TripWireのオープンソースバージョン もあります。これは、選択したファイルへの変更を監視するのに役立ちますが、これは、何が危険にさらされているかを知らせるために侵入した後にのみ役立ちます。
私はあなたが探していると思いますsnort
これは侵入検知システムまたはidsです
誤ったアラートを最小限に抑える(または問題に対処する)ために、構成と調整が少し必要ですが、それを支援するために利用できるツールはたくさんあります。最新のハッキングを常に把握するために、新しい「ルール」のセットを購読できるWebサイトもあります。
それに加えて、baseやacidなどのsnortログアナライザーを使用することもできます。 sguilと呼ばれるオールインワンのGUIソリューションもあると思います。
Ossimを見てください。これは* nixサーバー用のオープンソースIDS /分析システムであり、イベント相関、接続追跡、セッション監視があり、現在のセキュリティレベルの概要がわかりやすく表示されます。
ハッキングの試みが失敗するたびに警告を受けることを考え直したいと思うかもしれません。誰かが脆弱性を探し回るたびに電子メールが必要な場合は、おそらく かなりの大洪水 を求めています。
脆弱なパスワードを持つ4台のLinuxコンピューターは、攻撃の傾向を判断するために24時間オンラインのままにされました。これは、研究者がメリーランド大学で研究を行うために行った準備でした。彼の観察によると、コンピューターは270,000回のハッキングの試みを受けました。それは39秒ごとに1回の試行になります。
selinuxを有効にして実行していて、setroubleshootを実行している場合、通常の防御を超える攻撃はポップアップをトリガーします。これまでに1回の攻撃があり、selinuxによってシャットダウンされました。アラートがなかったら、私にはわかりませんでした。アラートから少し調べてみると、問題のパッケージのアドバイザリが表示されましたが、不要だったのでアンインストールしました。
sshdfilter を使用してssh攻撃をブロックし、攻撃が検出されるたびにメールを送信するように設定されています。ほとんどの場合、私は1日に2つの通知を受け取ります。
LinuxサーバーでDenyhosts、Logwatch、および制限付きファイアウォールを組み合わせて使用しています。
まず第一に、DenyhostsがブロックするIPごとに個別の電子メールを送信させないでください。ボットネットSSH攻撃に見舞われた場合(私の個人サーバーが数回正常に風化したため)、通知が多すぎることを意味します。 LogWatchが正しく構成されている場合、毎日の電子メールにdenyhostsアクティビティのレポートが含まれます。デフォルトのService = Allのままにすると、これは自動的に発生します。
さらに、サーバーのルートのホームディレクトリに.forwardというテキストファイルを作成します。その中に、rootのメールを転送する場所のアドレスを入力します。サーバーの数が少ない場合でも、毎日のLogWatchメッセージをすべて1か所にまとめる方が、各サーバーに個別にログインして「メール」を使用するよりもはるかに簡単です。
最後に、機密性の高い作業マシンでは、特にホワイトリストに登録したIPアドレスを除くすべてのトラフィックをブロックするようにiptablesを設定しています。ローカルVLANからのトラフィックは制限されておらず、iptablesルールを構築し、構成ファイルに基づいて特定のIPをホワイトリストに登録するbashスクリプトがあります(これは、ホワイトリストを維持しようとするよりもはるかに簡単です。スクリプト自体。)必要に応じて、任意のポートやプロトコルのホワイトリストをオンザフライで作成するのに十分な拡張性があります。たとえば、tcp_22_accessには、SSHアクセスが許可されているIPが含まれています。
安全なサーバーを用意することは1つのことであり、簡単にハッキングすることはできません。したがって、基本的には、サーバーが攻撃を受けているかどうか、つまりDOSまたはDDOSを知りたいと考えています。
そのテーマについてGoogleを調べるか、その分野に関する人々の意見を聞くことをお勧めします。そこにはたくさんあります。
Tripwireについて良いことをいくつか聞いたことがありますが、自分で試したことはありません。
「Samhainは、一元化されたホスト整合性監視のための包括的なオープンソースソリューションです。」 -- http://www.la-samhna.de
私が使用したすべてのソフトウェアパッケージはすでにリストされていますが、2番目のリクエストについて指摘したいと思います。
あなたは本当に自動攻撃に見舞われるたびにメールを送りたいですか?
電子メールまたはSMSで即座に通知するように設定するときはいつでも、2つの質問を自問してください。
この通知に応じて何ができますか?また、いつそれをしませんか?毎回同じように応答する場合は、Fail2Ban(失敗したログインのIPを自動的にブラックリストに登録する)のようなトリガーシステムを使用しているはずです。通知にすぐに応答しない場合は、毎日のダイジェストメールか、どこかのアラートシステムにログインする方がよいでしょう。
あらゆる種類のアラートベースのシステムで、信号対雑音比を高く保ちます。何もしない平凡な「攻撃」について1日に5〜10通の電子メールを受け取った場合、重要な何かをすり抜けさせるのははるかに簡単です。