Средства обнаружения и защиты от вторжения
Линукс - сетевая ОС и практически все из нас пользуются интернетом. Чтобы обезопасить себя от несанкционированного вторжения в линуксе разработаны много средств. Я хочу рассказать о некотрых из них.
Portsentry
Программа предназначена для обнаружения попыток сканирования портов и организации ответа.
Основные возможности Portsentry:
- обнаруживает практически все известные виды сканирования UNIX-машин;
- в реальном времени блокирует хост, с которого происходит сканирование портов, посредством установленного на атакуемом компьютере брандмауэра;
- записывает в log-afqks посредством syslog информацию об атаке;
- в ответ на сканирование или подключение к защищенному порту вызывает программу, указанную администратором при конфигурировании.
Tripwire
Пакет предназначен для обнаружения изменения файлов,позволяя обнаруживать порчу данных и взломы. База данных контрольных сумм файлов шифруется, что предотвращает ее подделку взломщиками. Непосредственно после установки ОС лучше установить этот пакет, который, используя правила, определенные политикой безопасности, создает базу данных, содержащую информацию обо всех файлах в системе - размер, контрольная сумма, дата модификации и т.п. После создания базы данных она ежедневно сравнивается с текущим состоянием файловой ситемы, позволяя обнаружить добавленные, измененные и удаленные файлы. Все изменения записываются в файл отчета.
AIDE
Система обнаружения вторжений, основанная на использовании мониторинга изменения контрольных сумм защищаемых файлов ОС. Аналог Tripwire, только имеет более простые конфигурационные файлы.
SystraqСистема обнаружения вторжений, основанная на использовании мониторинга изменения всех процессов в системе.
RSBAC
Надстройка над ядром Linux и комплект утилит управления.Мощная система защиты и разграничений прав доступа.
LIDS
LIDS (Linux Intrusion Detection/Defense System) - система обнаружения и защиты от вторжения. Представляет собой дополнение к ядру ОС, позволяет запретить или ограничить доступ к файлам,памяти,устройствам,сетевым интерфейсам,запущенным приложениям пользователю root, что дает возможность надежно оградить уже взломанную систему от дальнейшего вмешательства Главное отличие - эту систему нельзя отключить не зная пароль администратора LIDS.
Источник - книга Linux в подлиннике 2-е издание
P.S. В данный момент я установил, разбираюсь и настраиваю некоторые из этих систем.
См. также Portsentry -программа для обнаружения попыток сканирования портов и организации ответа
Комментарии (9)
Простая защита от перебора паролей ssh - denyhosts
Она блокирует все, кроме разрешённых ? Мне иногда бывает нужно, с любого первого попавшегося компьютера зайти.
Разве случайного порта и пароля силой в 128 бит недостаточно ?
Она блокирует все с которых предпринимаются попытки подбора пароля. Т.е. ip блокируется после n количества неправильно введенных логинов и паролей (n - естественно, настраивается). Тонкостей не знаю, врать не буду, но народ вроде хвалит.
О, будет полезно от назойливых корейцев :-)
З.Ы. попробуйте настроить ssh на стандартный порт и подержать приличное время, посматривая логи :-)
Спасибо за совет.
Поставил.
Настроил.
Буду ждать логов :0))
Причём поставил опцию защиты не
BLOCK_SERVICE = sshdа
BLOCK_SERVICE = ALLРаскомментировав пункт подсказки.
Полагаю, защищаться будет не только ssh, но и ftp и mysql.
У меня на старой работе как-то ломанули http сервак, так что линукс тоже ломается и его тоже надо защищать...
Вот сейчас руки чешутся попробовать зайти с неправильным паролем, проверить, сработает или нет...
Работает!!!
Банит!!!
Хорошо, что у меня ещё на одном компе консоль уже была подключена, а то сервак забанил меня по общему белому айпишнику %0))
По теме порекомендую 2 книги:
Зиглер Роберт Л "Брандмауэры в Linux" "Вильямс",2001 -384с ISBN 5-8459-0120-0 Ссылка
Скотт Манн, Эллен Митчелл, Митчелл Крелл "Безопасность Linux.руководство администратора по защите систем с открытым исходным кодом" "Вильямс",2003 -624с ISBN 5-8459-0485-4 Ссылка
так же: fail2ban.
Четыре шага в защите SSH
Отправить комментарий