Я хотел бы получать уведомление по электронной почте, если наши серверы Linux подвергаются какой-либо попытке взлома или сервисной атаки. Есть ли какое-то универсальное решение, которое может отслеживать подозрительную активность и отправлять отчеты об этой активности на адрес электронной почты?
Если вас беспокоят атаки, простого мониторинга недостаточно. Представьте, что приступ происходит в 2 часа ночи или когда вы спите вне рабочего времени. Сколько паролей можно угадать, прежде чем проверять электронную почту?
Слишком много, черт возьми. fail2ban а другие программы автоматизируют политику, которая вам нужна. Logwatch может искать необычное поведение, но в основном он предназначен для обнаружения зарегистрированных ошибок.
Я думаю ты ищешь фырканье
Это Система обнаружения вторжений или идентификаторы
Требуется небольшая настройка, а затем настройка, чтобы свести к минимуму ложные срабатывания (или решить проблемы), но есть много инструментов, которые могут помочь с этим. Есть также веб-сайты, где вы можете подписаться на новые наборы «правил», чтобы быть в курсе последних хаков.
Наряду с этим вы можете использовать анализаторы журналов snort, такие как основание или кислота. Я думаю, что есть также универсальное решение с графическим интерфейсом под названием Sguil а также, на что вы можете захотеть посмотреть.
Я веду мониторинг журналов с помощью журнал для поиска подозрительной активности при входе в систему. У меня система довольно плотно заблокирована, поэтому я в основном «ловлю» нашу службу безопасности на регулярных проверках. Также есть версия TripWire с открытым исходным кодом это было бы полезно для отслеживания изменений в выбранных файлах, хотя это полезно только после того, как они взломаны, чтобы сообщить вам, что было взломано.
Я удивлен, что OSSEC не упоминается - это еще одна IDS на основе хоста.
ossec.net
Джош
Вам следует подумать о настройке ядра для отслеживания Злой Бит. Я не уверен насчет Linux, но поддержка встроена прямо в FreeBSD!
Пожалуйста, проверьте дату по ссылке RFC, прежде чем продолжить рассмотрение моих предложений ...
Я думаю, вы можете захотеть переосмыслить получение предупреждений о каждой неудачной попытке взлома. Если вы хотите получать электронное письмо каждый раз, когда кто-то пытается найти уязвимость, вы, вероятно, столкнетесь с настоящий потоп.
Четыре компьютера Linux с уязвимыми паролями были оставлены в сети на 24 часа, чтобы определить тенденцию атак на них. Это была подготовка исследователя к проведению исследования в Университете Мэриленда. По его наблюдениям, на компьютеры было совершено 270 000 попыток взлома. Что доходит до одна попытка за 39 секунд.
Если вы работаете с selinux включен, и у вас есть setroubleshoot бега, то любая атака, которая преодолеет обычную защиту, вызовет всплывающее окно. У меня была одна атака, зашедшая так далеко и отключенная selinux и если бы не предупреждение, я бы и понятия не имел. Небольшое исследование оповещения привело меня к совету для рассматриваемого пакета, который мне не понадобился, поэтому я удалил его.
я использую sshdfilter чтобы заблокировать атаки ssh, и он настроен на отправку мне электронного письма при каждом обнаружении атаки. В большинстве случаев я получаю два уведомления в день.
Взгляните на ossim, это система IDS / анализа с открытым исходным кодом для серверов * nix, которая имеет корреляцию событий, отслеживание соединений и мониторинг сеансов, а также дает вам хороший обзор текущего уровня безопасности.
Я слышал много хорошего о Tripwire, но сам никогда не пробовал.
«Samhain - это комплексное решение с открытым исходным кодом для централизованного мониторинга целостности хоста». - http://www.la-samhna.de
Я использую Denyhosts. Простой в настройке и очень эффективный.
он отправляет вам что-то вроде этого:
В /etc/hosts.deny добавлены следующие хосты:
144.16.111.105 (неизвестно)
Я использую комбинацию Denyhosts, Logwatch и ограничительных брандмауэров на моих серверах Linux.
Прежде всего, НИКОГДА не позволяйте Denyhosts отправлять вам отдельные электронные письма для каждого заблокированного IP-адреса. Если вы подвергнетесь атаке ботнета по SSH (поскольку мой персональный сервер успешно выдерживал несколько раз), это будет означать слишком много уведомлений. Если LogWatch настроен правильно, он будет включать отчет об активности denyhosts в ежедневное электронное письмо. Если оставить значение по умолчанию Service = All, это должно произойти автоматически.
Кроме того, создайте текстовый файл с именем .forward в домашнем каталоге root на вашем сервере. В нем укажите адрес, по которому вы хотите пересылать электронные письма root. Даже если у вас всего несколько серверов, гораздо проще собрать все ежедневные сообщения LogWatch в одном месте, чем входить в каждый из них по отдельности и использовать «Почту».
Наконец, на чувствительных рабочих машинах у меня есть iptables, настроенный для блокирования всего трафика, кроме IP-адресов, которые я специально внес в белый список. Трафик из локальной VLAN не ограничен, и у меня есть сценарий bash, который строит мои правила iptables и заносит в белый список определенные IP-адреса на основе файлов конфигурации. (Это намного проще, чем пытаться поддерживать белые списки в самом скрипте.) Он достаточно расширяемый, чтобы я мог создавать белые списки для любого порта и / или протокола на лету по мере необходимости: например, tcp_22_access содержит IP-адреса, для которых есть доступ по SSH разрешенный.
Одно дело - иметь защищенный сервер, который нелегко взломать. По сути, вы хотите знать, атакован ли сервер, то есть DOS или DDOS.
Я бы посоветовал заглянуть в Google по этой теме или узнать мнение людей по этой теме. Там много всего.
Каждый программный пакет, который я использовал, уже перечислен, но я просто хотел затронуть ваш второй запрос:
Вы действительно хотите получать сообщения по электронной почте каждый раз, когда вы подвергаетесь автоматической атаке?
Каждый раз, когда вы настраиваете мгновенное уведомление по электронной почте или sms, задайте себе два вопроса:
Что я могу сделать в ответ на это уведомление и когда я этого не сделаю? Если вы будете каждый раз отвечать одинаково, вероятно, вам следует использовать систему триггеров, например Fail2Ban (автоматически заносить в черный список IP-адреса для неудачных попыток входа). Если вы никогда не ответите сразу на уведомление, то, вероятно, лучше будет либо ежедневное электронное письмо с дайджестом, либо просто запись в систему оповещений.
Поддерживайте высокое соотношение сигнал / шум в любой системе оповещения. Если вы получаете 5-10 писем в день о какой-то обыденной «атаке», с которой вы ничего не предпринимаете, гораздо проще позволить чему-то важному ускользнуть.