Polskie Forum Użytkowników Debiana

Jak ktoś nie ma np. PortSentry, LogSentry, TripWire, LogCheck, Snort to może odczytać w logach próby włamań, jeśli tak, to w którym logu i jak taki zapis przykładowo wygląda?

sam z siebie nie. musisz sobie skonfigurować.

Syslog?

Tak jak powiedział Yampress.

Np jak uruchamiasz snorta np takim poleceniem To logi snort będzie zapisywał do pliku /var/log/snort (opcja -l)

Pamiętaj też, że system IDS tylko wykrywa próby ataku, IPS dodatkowo postara się im zapobiec. Z tego co pamiętam to snorta z IPS trzeba było samemu kompilować ( snrot inline)

Snort oki, ale mi chodziło czy debian bez snort i innych takich programów umieszcza coś w logach o próbach jakiś akcjach z zewnątrz netu. Oki trzeba sobie skonfigurować.

Możesz przy ustawianiu iptables dać -j LOG przed daną regułą i wtedy zapisze ci do sysloga.
Wtedy wiesz np czy Ci ktoś się po danym porcie,protokole dobija

A tak ja czytałem o iptables pod tym względem i o konfigurowaniu tych programów co je wymieniam na początku mam zamiar z tym po eksperymentować, tylko tak chciałem zapytać czy może jest jakiś sygnał w logach bez tego wszystkiego.
Dzięki sprawdzę sobie to -j LOG .

psad

Tu sobie czytam o tym:
http://www.securitum.pl/baza-wiedzy/pub ... nia-wlaman

/var/log/auth.log
jak chcesz tam więcej informacji to konfiguracja modułów PAM.

Co ta znaczy próby włamania, bo w logach znajdziesz głównie próbę łamanie haseł. DDoS znajdziesz w logach konkretnej usługi np. apache, można to ucinać już na poziomie zapory itd.. Więc musisz sprecyzować jakie ataki masz na myśli.


entries/30-Implementacja-systemu-aktywn ... onie-cz.-1