Czy Debian oznacza w logach próby w
Czy Debian oznacza w logach próby włamń i jak je odczytać?
Jak ktoś nie ma np. PortSentry, LogSentry, TripWire, LogCheck, Snort to może odczytać w logach próby włamań, jeśli tak, to w którym logu i jak taki zapis przykładowo wygląda?
Tak jak powiedział Yampress.
Np jak uruchamiasz snorta np takim poleceniem
To logi snort będzie zapisywał do pliku /var/log/snort (opcja -l)
Pamiętaj też, że system IDS tylko wykrywa próby ataku, IPS dodatkowo postara się im zapobiec. Z tego co pamiętam to snorta z IPS trzeba było samemu kompilować ( snrot inline)
Np jak uruchamiasz snorta np takim poleceniem
Kod: Zaznacz cały
# snort -d -D -c /etc/snort/snort.conf -l /var/log/snort
Pamiętaj też, że system IDS tylko wykrywa próby ataku, IPS dodatkowo postara się im zapobiec. Z tego co pamiętam to snorta z IPS trzeba było samemu kompilować ( snrot inline)
Tu sobie czytam o tym:
http://www.securitum.pl/baza-wiedzy/pub ... nia-wlaman
http://www.securitum.pl/baza-wiedzy/pub ... nia-wlaman
/var/log/auth.log
jak chcesz tam więcej informacji to konfiguracja modułów PAM.
Co ta znaczy próby włamania, bo w logach znajdziesz głównie próbę łamanie haseł. DDoS znajdziesz w logach konkretnej usługi np. apache, można to ucinać już na poziomie zapory itd.. Więc musisz sprecyzować jakie ataki masz na myśli.
entries/30-Implementacja-systemu-aktywn ... onie-cz.-1
jak chcesz tam więcej informacji to konfiguracja modułów PAM.
Co ta znaczy próby włamania, bo w logach znajdziesz głównie próbę łamanie haseł. DDoS znajdziesz w logach konkretnej usługi np. apache, można to ucinać już na poziomie zapory itd.. Więc musisz sprecyzować jakie ataki masz na myśli.
entries/30-Implementacja-systemu-aktywn ... onie-cz.-1