होम डेस्कटॉप उपयोग के लिए कौन सी स्वचालित घुसपैठ सूचना / पता लगाना सेटअप अच्छा है?


27

मैं अभी काफी समय से लिनक्स का उपयोग कर रहा हूं और मुझे हमेशा एक निष्क्रिय सॉफ़्टवेयर / स्क्रिप्ट सेटअप की आवश्यकता महसूस होती है जो मुझे ईमेल के माध्यम से या मक्खी द्वारा स्कैन की गई किसी भी संदिग्ध नेटवर्क गतिविधियों, जैसे प्रवेश के लिए असफल प्रयास, आदि से सचेत कर सके। दृश्य / ऑडियो सूचनाएं।

मुझे पता है कि लॉग और सामान के माध्यम से कैसे देखना है, लेकिन अधिकांश भाग के लिए यह एक मैनुअल, समय लेने वाली प्रक्रिया है। मैं कुछ अच्छी लॉग पार्सिंग क्षमताओं के साथ अर्ध / पूरी तरह से स्वचालित होने वाली चीज़ की तलाश में हूं।

मुझे स्नॉर्ट जैसे नेटवर्क की निगरानी के लिए आईडीएस सिस्टम के बारे में पता है, लेकिन वे औसत घरेलू उपयोगकर्ता के लिए एक ओवरकिल हैं और उठने और चलने की दर्दनाक प्रक्रिया।

एक घरेलू उपयोगकर्ता के रूप में मेरे लिए एक अच्छा विकल्प क्या है?


आप 'निष्क्रिय' को कैसे परिभाषित करते हैं? के रूप में, कुछ आप एक बार अपने आप को चलाने के लिए देखने के लिए कि क्या कुछ गड़बड़ चल रहा था?
नन्ने

जवाबों:


15

लॉगचेक का उपयोग करने के लिए एक सरल और प्रभावी सामान्य समाधान है ।

sudo apt-get install logcheck
[edit /etc/logcheck/logcheck.conf to your liking]

logcheck समय-समय पर सभी लॉग्स को कुशलतापूर्वक स्कैन करता है (जहां पिछली बार इसे छोड़ा गया था), फ़िल्टर करता है जो सामान्य मानी जाने वाली किसी भी चीज़ को खत्म करने के लिए देखता है, और वैकल्पिक रूप से किसी भी चीज़ के साथ ईमेल अलर्ट जो सामान्य / नियमित पैटर्न से मेल नहीं खाता है।

मुख्य विचार आपकी लॉग फ़ाइलों में किसी भी गंभीर प्रविष्टियों की उपस्थिति के लिए देखना है, उन सभी को, हर समय, इसलिए आपको नहीं करना है।

logcheck अत्यधिक विन्यास योग्य (man logcheck) है। आप सब कुछ कॉन्फ़िगर कर सकते हैं, जिसमें शामिल हैं:

  • जाँच की आवृत्ति
  • लॉग फ़ाइल की जाँच की जाती है
  • क्या सामान्य माना जाता है बनाम नहीं
  • जहां अलर्ट्स (असामान्य घटनाओं) को ईमेल करें

और अधिक। आपकी उपेक्षा (सामान्य / नियमित) पैटर्न कई फाइलों में /etc/logcheck/ignore.d.* के तहत रहता है और आप उन्हें अपनी आवश्यकताओं के अनुसार अनुकूलित कर सकते हैं; मुख्य रूप से आप अनदेखा करने के लिए अपने खुद के पैटर्न जोड़ना चाह सकते हैं। डिफ़ॉल्ट उबंटू पैकेज कई सेवाओं के लिए पहले से ही अनदेखा पैटर्न वाली फ़ाइलों के एक व्यापक सेट के साथ आता है, इसलिए जब तक आपका सिस्टम असामान्य नहीं है, तब तक इसे जोड़ने के लिए बहुत कुछ नहीं है। पूर्व-कॉन्फ़िगर किए गए फ़ाइल प्रोफ़ाइल के 3 सेट हैं: ign.d.workstation , ign.d.server , और ign.d.paranoid जिसे आप चुन सकते हैं।

लॉगचेक के पीछे मुख्य विचार यह है कि सिस्टम पर चलने वाली विभिन्न सेवाएं, पहले से ही असामान्य घटनाओं को लॉग करती हैं। जैसे sshd या pam पहले से ही प्रमाणीकरण विफलताओं को लॉग करते हैं। तो मुख्य गायब घटक हैं:

  • जो सामान्य है उसे छानना
  • चेतावनी सेवा

जो दोनों एक सुविधाजनक पैकेज में लॉगचेक द्वारा प्रदान किए गए हैं । आप किसी अन्य लॉगिंग के साथ लॉगचेक को जोड़ सकते हैं । उदाहरण के लिए iptables को किसी भी नेटवर्क कनेक्शन के प्रयासों को हटाने के लिए कॉन्फ़िगर किया जा सकता है जो नियमों को जोड़कर स्पष्ट रूप से अनुमत नहीं हैं:

 iptables -A input -j LOG
 iptables -A input -j DROP

सभी अनुमति नियमों के तुरंत बाद।

मुझे लगता है logcheck की तुलना में अधिक सहायक हो logwatch क्योंकि यह नियम की एक बहुत बड़ी संख्या के साथ पहले से पैक की अनदेखी करने के क्या सामान्य गतिविधि माना जाता है आता है (अन्य उत्तर में सुझाव दिया)। परिणाम अलर्ट में बहुत अधिक संकेत / शोर अनुपात है जो इसे ईमेल करता है। YMMV।

लॉगचेक का एक और फायदा यह है कि यह लॉग करने वाली किसी भी सेवा के लिए ऑर्थोगोनल है, इसलिए फ़ंक्शन का कोई दोहराव नहीं है। जब भी आप एक नई सेवा जोड़ते हैं, जो syslogलॉग इवेंट्स का उपयोग करती है, असामान्य है या नहीं, /var/logआपके अधीन किसी भी फाइल में स्वचालित रूप से इसके लिए अलर्ट मिलना शुरू हो जाता है।

कैसे:

चूंकि logcheckपहले से ही अपुष्ट है, इस उत्तर के शीर्ष पर दो लाइनें अनिवार्य रूप से कवर करती हैं जो आपको शुरू करने की आवश्यकता होती है। बस इसे स्थापित करें, और शीर्ष कॉन्फ़िगरेशन फ़ाइल पर जाएं: /etc/logcheck/logcheck.confअपना ईमेल पता बदलने के लिए ताकि logcheckईमेल आपको अलर्ट करें।

यहाँ एक दोस्ताना संदर्भ है जो दूसरे चरण में अधिक विस्तार से जा रहा है । चूंकि उबंटू डेबियन पर आधारित है, इसलिए इन निर्देशों को उबंटू पर भी काम करना चाहिए। यहाँ एक और अच्छा संदर्भ है

स्थापित करने के बाद, निरंतर सुधार प्रक्रिया शुरू होती है। समय के साथ, आप कुछ भी अनदेखा करने के लिए अपने नियमों को परिष्कृत करते हैं जिनके बारे में आप पहले से जानते हैं और महसूस नहीं करना चाहिए। यह शोधन प्रक्रिया अपने पसंदीदा पाठ संपादक में एक फ़ाइल में पाठ लाइनों को जोड़ने के रूप में सरल है।

एक अनदेखा फ़ाइल में प्रत्येक पंक्ति एक विस्तारित नियमित अभिव्यक्ति (देखें man 7 regex) है, लेकिन आप सरल तारों का उपयोग कर सकते हैं जब तक वे उस लॉग लाइन से मेल खाते हैं जिसे आप अनदेखा करना चाहते हैं। बस याद रखें कि पात्रों की तरह *, ?, '+', [], ()एक नियमित अभिव्यक्ति में विशेष कर रहे हैं, इसलिए यदि वे वास्तव में लॉग लाइनों में दिखाई देते हैं, तो आप उन्हें एक बैकस्लैश साथ भागने के लिए होता \फ़ाइलों की अनदेखी में।

दूसरे शब्दों में: यदि आपको कोई चेतावनी मिलती है जिसे आप नहीं लेना चाहते हैं, तो उस लॉग लाइन को देखें जिसे आपको ईमेल किया गया था, और एक पैटर्न जोड़ें जो इसे मेल खाता है, एक पंक्ति के रूप में आपकी पसंद की किसी भी अनदेखा फ़ाइल में। मैं सुझाव देता हूं कि /etc/logcheck/ignore.d.<yourloglevel>/my-ignoresआपकी व्यक्तिगत उपेक्षा फ़ाइल के रूप में। कहाँ <yourloglevel>से एक है paranoid, serverया workstation(आप पहले से ही मुख्य कॉन्फ़िग फ़ाइल में चुने गए के रूप में: /etc/logcheck/logcheck.conf)। अन्य अनदेखा फ़ाइलों में उदाहरणों को देखें कि पाठ के लिए कैसे खाता है, जो हर समय प्रक्रिया-आईडी, या समय-टिकट की तरह बदलता है। इससे सीखने के लिए कई मौजूदा उदाहरण हैं।

एक आखिरी टिप: logcheckथोड़ा उपयोगी उपयोगिता के साथ आता है जिसे कहा जाता है logcheck-testजो नए नियमों के परीक्षण के लिए बहुत उपयोगी है। man logcheck-testब्योरा हेतु।


नमस्ते, मुझे लॉगचेक के पीछे का विचार पसंद है ... क्या आप कृपया मुझे इसके लिए गहराई से संकेत दे सकते हैं? धन्यवाद :)
irenicus09

1
@ irenicus09: संदर्भ के लिए वैकल्पिक लिंक के साथ बस howto अनुभाग जोड़ा गया।
अरीफ

इनाम जीतने के लिए बधाई, बहुत अच्छी तरह से लिखित जवाब आदमी। धन्यवाद :)
irenicus09

3

यदि आपके पास अपने नेटवर्क पर बहुत सारे सिस्टम नहीं हैं, तो Snort जैसी IDS सेट करना संभवतया ओवरकिल है (विशेषकर यदि आपके मशीन पर कोई नेटवर्क सेवा नहीं है)। मैं सुझाव देता हूं कि अपने सिस्टम पर क्या चल रहा है, इसकी रिपोर्ट भेजने के लिए आप लॉगवॉच को कॉन्फ़िगर करके शुरू करें। एक बार आपके पास आने के बाद, अपने syslog को कॉन्फ़िगर करें ताकि आपको अधिक से अधिक प्रासंगिक जानकारी मिल सके।


नमस्कार, मुझे आपका उत्तर पसंद है ... लेकिन क्या आप ऐसा करने के बारे में थोड़ा और विवरण साझा कर सकते हैं। कॉन्फ़िगरेशन के साथ गड़बड़ करना काफी मुश्किल हो सकता है, खासकर एक अनुभवहीन उपयोगकर्ता के लिए। लेकिन मैं सराहना करता हूं कि अगर आप मुझे इसके लिए गहराई गाइड की ओर इशारा कर सकते हैं। धन्यवाद।
irenicus09

@ irenicus09 मुझे लगता है कि यह पर्याप्त होना चाहिए: उबंटू-आधारित सिस्टम पर लॉगवॉच सेटअप करने के लिए कैसे
एंड्रयूएक्स 192

गाइड के लिए धन्यवाद, मैंने सफलतापूर्वक लॉगवॉच सेटअप किया है और मुझे यह पसंद है। पोर्ट स्कैन मॉनीटर के लिए मैंने भी पोर्ट्सेंट्री को सेटअप किया है और मैं अंतिम रूप देने से पहले अन्य उपकरणों और सामानों की कोशिश करूंगा जो मेरे लिए सबसे अच्छा है :)
irenicus09

1

जब आप अपने नेटवर्क में सेवाएँ (ftp, web, nfs, ssh etc) चलाते हैं, तो घुसपैठ का पता लगाना ज़रूरी है। इसका कारण यह है कि वे इंटरनेट पर और इसके कारण उजागर होते हैं:

  • मिस-विन्यास
  • सॉफ्टवेयर भेद्यता

उन्हें एक अनुभवी नेटवर्क व्यवस्थापक द्वारा दैनिक निगरानी की आवश्यकता होती है। यदि आप इस सेवाओं को चलाते हैं, तो आपके पास पहले से ही न्यूनतम ज्ञान है कि इस समस्याओं से कैसे बचा जाए।

यदि आप इस सेवा को नहीं चलाते हैं, तो आपके इंटरनेट राउटर फ़ायरवॉल ने पहले ही बंदरगाहों पर आने वाले किसी भी कनेक्शन को अवरुद्ध कर दिया है। अपने नेटवर्क राउटर को स्कैन करने के लिए

  • बस https://www.grc.com/x/ne.dll?bh0bkyd2 पर जाएं
  • "आगे बढ़ें" पर क्लिक करें
  • किसी भी खुले बंदरगाहों की जांच करने के लिए "सभी बंदरगाहों" का चयन करें

यदि आप सभी हरे हैं, तो आप सभी अच्छे हैं।

अंतिम लेकिन कम से कम, शायद आपके राउटर में अंतर्निर्मित घुसपैठ का पता लगाने वाली प्रणाली है (क्योंकि सभी राउटरों में से 99% धारीदार लिनेन सर्वर को चलाते हैं)। इसके लिए, आपको अपने रूटर्स निर्माता के मैनुअल की जांच करनी चाहिए।


नमस्कार, आपके उत्तर के लिए धन्यवाद। यह काफी व्यावहारिक है और मैं हर उस चीज से वाकिफ हूं जिसके बारे में आप बात कर रहे हैं। लेकिन मेरा कहना है कि मैं अपने सिस्टम पर विभिन्न सेवाओं को चला रहा हूं, मैं सुरक्षा दृष्टिकोण से गतिविधियों को कैसे ट्रैक कर सकता हूं। मुझे घरेलू उपयोगकर्ता के रूप में समाधान का उपयोग करने के लिए एक आसान, आसान और मुझे लगता है कि आप उस हिस्से से
बचते हैं
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.