Как узнать, какие другие системы пытаются попасть в Ubuntu?
В настоящее время я использую Ubuntu Desktop 11.04 и включил брандмауэр, используя GUFW. Я также отключил все ненужные сервисы. Я подключен к Интернету и хотел бы узнать подробности о любых других системах, пытающихся сканировать мою систему на наличие открытых портов или любых уязвимостей. Есть ли какое-либо программное обеспечение, которое регистрирует это в файле, которое я могу проверить?
Примечание: я ищу подход, которым могут следовать начинающие пользователи Ubuntu, а не только эксперты. GUI является предпочтительным.
4 ответа
Попробуйте это
sudo ufw logging on
Вы должны увидеть доступ в /var/log/syslog. Но это необработанные журналы, которые показывают только индивидуальный доступ. Сама UFW не имеет какого-либо инструмента для обобщения этого доступа к полезному отчету. Также я не знаю об инструменте, который может это сделать.
Вы можете попробовать это http://www.howtoforge.com/intrusion-detection-with-snort-mysql-apache2-on-ubuntu-7.10
Примечание. старый пост, написанный для Ubuntu 7.10. Но поможет вам понять, как это работает.
Я бы, вероятно, использовал PSAD (детектор атак сканирования портов).
Я нашел довольно простую запись:
http://www.cyberciti.biz/faq/linux-detect-port-scan-attacks/
Однако, это, вероятно, не для новичков ранга.
Snort - это бэкэнд, и другие программы предоставляют ему графический интерфейс (обычно через веб-интерфейс). Вот список программ, которые будут работать: GUI для Snort К сожалению, для них нет официальных пакетов Ubuntu (позаботьтесь о ossim, это совершенно другой пакет). Если бы мне пришлось создавать приложение сейчас, я бы сначала посмотрел на http://snorby.org/ , потому что развитие многих других проектов, похоже, застопорилось.