Czy Debian oznacza w logach próby w

Zagadnienia bezpieczeństwa w systemie
Awatar użytkownika
navigator
Beginner
Posty: 365
Rejestracja: 25 grudnia 2013, 16:13

Czy Debian oznacza w logach próby włamń i jak je odczytać?

Post autor: navigator »

Jak ktoś nie ma np. PortSentry, LogSentry, TripWire, LogCheck, Snort to może odczytać w logach próby włamań, jeśli tak, to w którym logu i jak taki zapis przykładowo wygląda?
Awatar użytkownika
Yampress
Administrator
Posty: 6365
Rejestracja: 09 sierpnia 2007, 21:41
Lokalizacja: PL

Post autor: Yampress »

sam z siebie nie. musisz sobie skonfigurować.
Awatar użytkownika
navigator
Beginner
Posty: 365
Rejestracja: 25 grudnia 2013, 16:13

Post autor: navigator »

Syslog?
Awatar użytkownika
pawkrol
Moderator
Posty: 939
Rejestracja: 03 kwietnia 2011, 10:25

Post autor: pawkrol »

Tak jak powiedział Yampress.

Np jak uruchamiasz snorta np takim poleceniem

Kod: Zaznacz cały


# snort -d -D -c /etc/snort/snort.conf -l /var/log/snort 

To logi snort będzie zapisywał do pliku /var/log/snort (opcja -l)

Pamiętaj też, że system IDS tylko wykrywa próby ataku, IPS dodatkowo postara się im zapobiec. Z tego co pamiętam to snorta z IPS trzeba było samemu kompilować ( snrot inline)
Awatar użytkownika
navigator
Beginner
Posty: 365
Rejestracja: 25 grudnia 2013, 16:13

Post autor: navigator »

Snort oki, ale mi chodziło czy debian bez snort i innych takich programów umieszcza coś w logach o próbach jakiś akcjach z zewnątrz netu. Oki trzeba sobie skonfigurować.
Awatar użytkownika
pawkrol
Moderator
Posty: 939
Rejestracja: 03 kwietnia 2011, 10:25

Post autor: pawkrol »

Możesz przy ustawianiu iptables dać -j LOG przed daną regułą i wtedy zapisze ci do sysloga.
Wtedy wiesz np czy Ci ktoś się po danym porcie,protokole dobija
Awatar użytkownika
navigator
Beginner
Posty: 365
Rejestracja: 25 grudnia 2013, 16:13

Post autor: navigator »

A tak ja czytałem o iptables pod tym względem i o konfigurowaniu tych programów co je wymieniam na początku mam zamiar z tym po eksperymentować, tylko tak chciałem zapytać czy może jest jakiś sygnał w logach bez tego wszystkiego.
Dzięki sprawdzę sobie to -j LOG .
Awatar użytkownika
Yampress
Administrator
Posty: 6365
Rejestracja: 09 sierpnia 2007, 21:41
Lokalizacja: PL

Post autor: Yampress »

psad
Awatar użytkownika
navigator
Beginner
Posty: 365
Rejestracja: 25 grudnia 2013, 16:13

Post autor: navigator »

Awatar użytkownika
grzesiek
Junior Member
Posty: 932
Rejestracja: 06 stycznia 2008, 10:41
Lokalizacja: Białystok

Post autor: grzesiek »

/var/log/auth.log
jak chcesz tam więcej informacji to konfiguracja modułów PAM.

Co ta znaczy próby włamania, bo w logach znajdziesz głównie próbę łamanie haseł. DDoS znajdziesz w logach konkretnej usługi np. apache, można to ucinać już na poziomie zapory itd.. Więc musisz sprecyzować jakie ataki masz na myśli.


entries/30-Implementacja-systemu-aktywn ... onie-cz.-1
ODPOWIEDZ