Как обнаружить неправильное действие в LAN/ПК?
Я хочу быть уведомленным по электронной почте, если какое-либо из этих событий ниже происходит:
- Новое устройство прибыло онлайн в мою LAN (в основном получил доступ к моему WiFi),
- Неудачные попытки аутентификации на моем ПК
- Кто-то или что-то, сканируя порты моего ПК
- Мой ПК был разбужен
- В мой ПК вошли (с экрана входа в систему и через SSH)
- Отравление ARP или подобные методы используются в моей сети
Как я мог следить за развитием тех событий и быть уведомлен с электронной почтой (также, если бы возможный уведомление о Единице было бы хорошо)?
3 ответа
Одно возможное решение здесь использовало бы OSSEC.
Это может быть загружено от здесь .
По умолчанию это не выполняет все шесть необходимых функций, перечисленных в вопросе, некоторое дополнительное программное обеспечение должно быть установлено, по умолчанию OSSEC наблюдает этих четырех вещей (предупреждения по электронной почте, возможно, придется включить отдельно для более низких уведомлений об уровне):
1) Неудачные попытки аутентификации
2) Сканирования портов, можно читать больше об этом из документации здесь .
3) Устройство, загружающееся
4) Вход в систему
, Эти два должны быть отдельно включены или настроены:
5) диагностика отравления ARP
6) Обнаруживающий новый хост в сети должен также быть включен, когда arpwatch, который (предыдущий) ruleset включен
, можно найти arpwatch ruleset здесь или в ruleset папке установки.
Существует много, можно сделать с безопасностью, все из которых будут большим образованием!
я использовал Fail2ban для предотвращения повторенных попыток доступа главным образом для попыток взлома http. это читает, файлы журнала так очень очень настраивается, это немного сложно, но определенно стоит чтения на.
Вы видите, кто продержался, вошел в систему с помощью команда lastlog.
команда sudo arp покажет Вам адреса в Вашей сети, таким образом, можно будет отождествить потенциальный спуфинг с MAC-адресами, которые Вы не распознаете.
iptables, который также использует fail2ban, может использоваться для отклонения определенного IP-адреса или протокола. (осторожный с этим, хотя, если у Вас нет физического доступа).
Движение немного больше в сети Вы могли искать wireshark, это может получить трафик и показать запросы ARP.
Все это - хорошая практика, но я нахожу главным образом, в чем Вы нуждаетесь, должен использовать WPA2 с длинным паролем на Вашем WiFi, изменить его от того, который это, вероятно, печатается на Вашем маршрутизаторе.
Использование аутентификация С закрытым ключом по SSH. (Также будьте очень осторожны здесь)
Hope, которая покрывает большую часть того, что Вы хотите. Это много для работы с; так не может объяснить, как использовать все здесь.
инструменты Inbuilt: (должен загрузить с Ubuntu)
1 .New устройство прибыло онлайн в мою LAN (в основном получил доступ к моему WiFi)
ifconfig -a
2 . Неудачные попытки аутентификации на моем ПК ( fail2ban)
apt-get install fail2ban
cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
nano /etc/fail2ban/jail.local
потребность добавить ниже строк w.r.t Ваш сервис
bantime = 600
findtime = 600
maxretry = 3
, например, сбой аутентификации:
[ssh]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 3
fail2ban также имеют электронную почту, уведомляют сервис.
destemail = root@localhost
sendername = Fail2Ban
mta = sendmail
3 .Someone или что-то, сканируя порты моего ПК (полезная команда)
netstat -an (to see which port are open and connected to other network)
iftop (контролирующий пропускную способность LAN, беспроводной локальной сети)
apt-get install iftop
iftop
Затем нажатие p (порт) и n (DNS). после того как Вы знаете однажды, на котором трафик порта прибывает из неизвестного IP, можно заблокировать тот IP с ufw брандмауэром.
ufw deny from 192.x.x.x
, Чтобы проверить, сканирует ли кто-то порт:
netstat -an и iftop
, если вывод вышеупомянутой команды является длинным списком и соединением, прибывает из того же IP на нескольких портах.
5 в.My ПК вошли (затем, будет хорошо стать последним 10 данных команд)
history
, даст Вам последнюю используемую команду 2K (если пользователь будет тем же)
ИЛИ
, Чтобы видеть, что для используемой команды другого пользователя (например, user=test)
su test
history
выше команды нужны sudo или полномочие пользователя root.
программное обеспечение использовало для контроля системы Linux:
Nagios: https://www.nagios.org/projects /
Splunk: http://www.splunk.com/en_us/download/splunk-enterprise.html
Zabbix: http://www.zabbix.com/download.php
, который Все выше инструментов имеют, уведомляет почтовый сервис. (высоконастраиваемый)
Обновление:
Уведомляют пользователя lgoin по электронной почте: https://www.tiger-computing.co.uk/get-linux-to-notify-every-ssh-login /
nano /etc/profile
if [ -n "$SSH_CLIENT" ]; then
TEXT="$(date): ssh login to ${USER}@$(hostname -f)"
TEXT="$TEXT from $(echo $SSH_CLIENT|awk '{print $1}')"
echo $TEXT|mail -s "ssh login" you@your.domain
fi