Intrusion Detection & Prevention System για server

[koslibpro]

Καλησπερα σε ολους,

λοιπον εχω εναν home server που βγαινει στο internet με Dyndns.Τρεχει apache2-mysql-php-dovecot και custom script-ακια κυριως.
Απο Monitoring δεν εχω τιποτα πανω(Ubuntu 11.04 εχω παρεπιπτοντως).

Με το Snort που κοιταξα,δεν εβγαλα ακρη,και μαλιστα δεν μου λειτουργησε.

Εσεις,τι προτινετε για IDS & IPS?
Ευπροσδεκτα ο,τι tutorials εχετε/βρειτε:)

Ευχαριστω πολυ εκ των προτερων!

[medigeek]

1. https://help.ubuntu.com/community/Security
2. (Αν δεν είδες το 1 ) Αυτόματη εγκατάσταση καινούργιων πακέτων από το αποθετήριο για ενημερώσεις ασφαλείας.
https://help.ubuntu.com/12.04/servergui ... dates.html

Κώδικας: Επιλογή όλων

sudo apt-get install unattended-upgrades

3. Mπορείς να αυξήσεις τον χρόνο αναμονής όταν δωθεί λάθος κωδικός (π.χ. από ssh) σε 3 δευτερόλεπτα:

Κώδικας: Επιλογή όλων

cat /etc/pam.d/common-auth

auth [success=1 default=ignore] pam_unix.so nullok_secure

Αλλάζεις το success=1 σε success=2

4. Μην χρησιμοποιείς FTP (αν έχεις) -- προτίμησε το SFTP που είναι κρυπτογραφημένο.

[the_eye]

Δες το fail2ban

[koslibpro]

1. https://help.ubuntu.com/community/Security
2. (Αν δεν είδες το 1 ) Αυτόματη εγκατάσταση καινούργιων πακέτων από το αποθετήριο για ενημερώσεις ασφαλείας.
https://help.ubuntu.com/12.04/servergui ... dates.html

Κώδικας: Επιλογή όλων

sudo apt-get install unattended-upgrades

3. Mπορείς να αυξήσεις τον χρόνο αναμονής όταν δωθεί λάθος κωδικός (π.χ. από ssh) σε 3 δευτερόλεπτα:

Κώδικας: Επιλογή όλων

cat /etc/pam.d/common-auth

auth [success=1 default=ignore] pam_unix.so nullok_secure

Αλλάζεις το success=1 σε success=2

4. Μην χρησιμοποιείς FTP (αν έχεις) -- προτίμησε το SFTP που είναι κρυπτογραφημένο.

αυτο για την χρονοκαθυστερηση,βοηθαει εν μερη στους επιδοξους hackers...
FTP οχι δεν χρησιμοποιω,μονο sFTP και οταν χρειαζεται:)
Καλα επισης για τα Updates του συστηματος δεν το συζηταω..

απλα ηθελα ενα software για παρακολουθηση,monitoring&hardening..
τωρα τσεκαρω το Link σου για το security που μου εδωσες,αν και το ειχα βρει και νωριτερα,ομως τωρα του δινω περισσοτερο προσοχη.

επισης,the_eye θα δοκιμασω και το fail2ban και θα ενημερωσω..

ευχαριστω μεχρι ωρας παιδια:)

EDIT:ειχα ακολουθησει αυτον>>https://help.ubuntu.com/community/SnortIDS τον οδηγο,ομως δεν εκανε τιποτα Monitor.δεν δουλευε...ηταν συνεχεια με ολα στο 0%,σα να μην συνεβαινε τιποτα..αρα ακυρο φανταζομαι..

[koslibpro]

Λοιπον!

το fail2ban ειμαι πολυ κοντα στο να καταληξω σε αυτο,μου αρεσει πολυ!Οποτε θεωρητικα μεχρι τωρα ειμαι οκ οσον αφορα το θεμα του intrusion prevention.

Για Intrusion detection τιποτα εχετε να προτινετε??

[the_eye]

Δες το
psad

[mpekatsoula]

EDIT:ειχα ακολουθησει αυτον>>https://help.ubuntu.com/community/SnortIDS τον οδηγο,ομως δεν εκανε τιποτα Monitor.δεν δουλευε...ηταν συνεχεια με ολα στο 0%,σα να μην συνεβαινε τιποτα..αρα ακυρο φανταζομαι..

Πως ακριβώς δοκίμασες για το αν έκανε monitor κάτι; Έκανες ένα "attack" στο δίκτυό σου, πχ με το nikto; Θα σου πρότεινα να ξαναδείς το snort μαζί με το BASE (http://base.secureideas.net/), και να διαβάσεις τα docs που έχει στο site. Θέλει αρκετό χρόνο μέχρι να το κάνεις configure σωστά. Αν θες να μάθεις κάτι σχετικά χρήσιμο αφιέρωσε λίγο χρόνο στο snort. Βέβαια για home server όλα αυτά είναι Overkill, αλλά φαντάζομαι θες να παίξεις

[koslibpro]

οχι φιλε μου λες πραγματικα ασχοληθηκα με το snort αρκετα,αλλα οσες επιθεσεις και αν εκανα,τι port scanning εκανα,τι ddos,οτι θελεις εκανα..αλλα παντα δεν μου εδειχνε τιποτα..
προς το παρων ,για εκπαιδευτικους σκοπους το κανω,σε καναν μηνα θα το χρειαστω πρακτικα:)

Τωρα κοιταζω το psad που μου ειπε o the eye,και θα δουμε τι θα κανω με αυτο...

[koslibpro]

το psad δεν μπορω να πω οτι με αφησε ικανοποιημενο..

κατι αλλο??

[medigeek]

Μπορείς να κάνεις disable μερικές εντολές της php που πιθανόν να είναι ενεργοποιημένες:
http://www.cyberciti.biz/faq/linux-unix ... functions/