J'utilise Linux depuis un certain temps maintenant et je ressens toujours le besoin d'avoir une configuration passive de logiciel / script qui peut m'alerter de toute activité réseau suspecte comme des analyses, des tentatives de connexion échouées, etc. à la volée par e-mail ou par notifications visuelles / audio.
Je sais comment consulter les journaux et autres choses, mais pour la plupart, c'est un processus manuel qui prend du temps. Je cherche quelque chose qui est semi / entièrement automatisé avec de bonnes capacités d'analyse de journaux.
Je connais les systèmes IDS pour surveiller les réseaux comme Snort, etc., mais ils sont exagérés pour l'utilisateur domestique moyen et un processus pénible pour être opérationnel.
Quelle est une bonne option pour moi en tant qu'utilisateur à domicile?
la source
Réponses:
Une solution générale simple et efficace consiste à utiliser logcheck .
logcheck analyse périodiquement tous les journaux efficacement (en commençant là où ils se sont arrêtés la dernière fois), filtre ce qu'il voit pour éliminer tout ce qui est considéré comme normal et envoie éventuellement des alertes par e-mail avec tout ce qui ne correspond pas aux modèles normaux / de routine.
L'idée principale est de faire attention à l'apparition de toute entrée sérieuse dans vos fichiers journaux, tous, tout le temps, afin que vous n'ayez pas à le faire.
logcheck est hautement configurable (
man logcheck
). Vous pouvez tout configurer, y compris:et plus. Vos modèles ignorés (normaux / routiniers) résident dans plusieurs fichiers sous /etc/logcheck/ignore.d.* et vous pouvez les personnaliser selon vos besoins; principalement, vous voudrez peut-être ajouter vos propres modèles à ignorer. Le package Ubuntu par défaut est déjà livré avec un ensemble complet de fichiers avec des motifs d'ignorance pour de nombreux services, donc il n'y a pas grand-chose à ajouter à moins que votre système ne soit inhabituel dans son fonctionnement. Il existe 3 ensembles de profils de fichiers ignorés préconfigurés : ignore.d.workstation , ignore.d.server et ignore.d.paranoid parmi lesquels vous pouvez choisir.
L'idée principale derrière logcheck est que les différents services exécutés sur un système enregistrent déjà des événements anormaux. Par exemple, sshd ou pam enregistrent déjà les échecs d'authentification. Les principaux composants manquants sont donc:
Les deux sont fournis par logcheck dans un package pratique. Vous pouvez combiner logcheck avec toute autre journalisation. Par exemple, iptables peut être configuré pour syslog toutes les tentatives de connexion réseau qui ne sont pas explicitement autorisées en ajoutant les règles:
immédiatement après toutes les règles d'autorisation.
Je trouve que logcheck est beaucoup plus utile que logwatch (suggéré dans d'autres réponses) car il est livré avec un très grand nombre de règles pour ignorer ce qui est considéré comme une activité normale. Le résultat est un rapport signal / bruit beaucoup plus élevé dans les alertes qu'il envoie. YMMV.
Un autre avantage de logcheck est qu'il est orthogonal à n'importe quel service qui se connecte, donc il n'y a pas de duplication de fonction. Chaque fois que vous ajoutez un nouveau service qui utilise
syslog
pour enregistrer des événements, anormaux ou non, dans n'importe quel fichier sous/var/log
vous commencez à recevoir des alertes automatiquement.COMMENT:
Un dernier conseil:
logcheck
est livré avec un petit utilitaire utile appelélogcheck-test
qui est très pratique pour tester de nouvelles règles.man logcheck-test
pour plus de détails.la source
Si vous n'avez pas beaucoup de systèmes sur votre réseau, la configuration d'un IDS comme Snort est probablement exagérée (surtout si vous n'avez aucun service réseau sur votre machine). Je suggère de commencer par configurer logwatch pour vous envoyer un rapport de ce qui se passe sur votre système. Une fois que vous avez cela, configurez votre syslog pour obtenir autant d'informations pertinentes que possible.
la source
La détection des intrusions est nécessaire à coup sûr lorsque vous exécutez des services (ftp, web, nfs, ssh, etc.) sur votre réseau. En effet, ils sont exposés sur Internet et dus à:
ils ont besoin d'une surveillance quotidienne par un administrateur réseau expérimenté. Si vous exécutez ces services, vous avez probablement déjà les connaissances minimales pour éviter ces problèmes.
Si vous n'exécutez aucun de ces services, le pare-feu de votre routeur Internet a déjà bloqué toute connexion entrante sur les ports. Pour analyser votre routeur de réseau
Si vous êtes tous verts, alors vous êtes tous bons.
Dernier point mais non le moindre, votre routeur dispose probablement d'un système de détection d'intrusion intégré (car 99% de tous les routeurs exécutent un serveur linux rayé). Pour cela, vous devez consulter le manuel du fabricant de votre routeur.
la source