Как обнаружить нерегулярную активность в локальной сети / ПК?

Question 1

Это умозрительное предположение ...

Я полагаю, что команда adduser запускается при создании нового пользователя. Он создает новую домашнюю папку пользователя, используя содержимое в файле / etc / skel

, если вы запустите / etc / skel , вы заметите, что существует очень простая структура папок.

Попробуйте создать папку .local / share / applications в / etc / skel. Затем скопируйте содержимое своей папки .local / share / applications в /etc/skel/.local/share/applications

Question 2

Есть много возможностей для безопасности, все из которых будут отличным образованием!

Я использовал Fail2ban для предотвращения повторных попыток доступа в основном для попыток HTTP-хака.

Вы можете видеть, кто последним вступил в систему, используя команду lastlog.

Команда lastlog покажет вам адреса в вашей сети, чтобы вы могли идентифицировать потенциальную спуфинг с MAC-адресами, которые вы не распознаете.

iptables, который также использует fail2ban, может использоваться для отказа от определенного IP-адреса адрес или протокол. (осторожно с этим, если у вас нет физического доступа).

Пойдя немного в сеть, вы можете посмотреть iptables , это может захватить трафик и показать запросы ARP. [!d9 ]

Все это хорошая практика, но я считаю, что в основном вам нужно использовать WPA2 с длинным паролем на вашем Wi-Fi, измените его на тот, который, вероятно, напечатан на вашем маршрутизаторе.

Используйте [d2 ] Fail2ban . (Также будьте очень осторожны)

Надежда, которая покрывает большую часть того, что вы хотите. С этим много работать; поэтому не могу объяснить, как использовать все здесь.

Question 3

Question 4

Встроенные инструменты: (необходимо загрузить с Ubuntu)

Встроенные инструменты: . Новое устройство появилось в сети в моей локальной сети (в основном доступ к моему WiFi)

ifconfig -a

2. Не удалось выполнить попытки аутентификации на моем ПК (fail2ban)

apt-get install fail2ban
cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
nano /etc/fail2ban/jail.local

, чтобы добавить ниже строки по вашей службе

bantime = 600
findtime = 600
maxretry = 3

, например, сбой аутентификации:

[ssh]

enabled  = true
port     = ssh
filter   = sshd
logpath  = /var/log/auth.log
maxretry = 3

fail2ban также имеет службу уведомлений по электронной почте.

destemail = root@localhost
sendername = Fail2Ban
mta = sendmail

2 .Кто-то или что-то сканирует порты моего ПК (полезная команда)

netstat -an (to see which port are open and connected to other network)

iftop (мониторинг полосы пропускания LAN, сети WLAN)

apt-get install iftop
iftop

Затем нажмите p (порт) и n (DNS). как только вы узнаете один раз, когда трафик порта поступает от неизвестного ip. вы можете заблокировать этот ip с помощью брандмауэра ufw.

ufw deny from 192.x.x.x

Чтобы проверить, сканирует ли кто-нибудь порт:

netstat -an и iftop

, если вывод выше команды - длинный список и соединение происходит от одного и того же ip на нескольких портах.

iftop . Мой компьютер был зарегистрирован (тогда было бы неплохо получить последние 10 команд выдан)

history

даст вам последнюю используемую команду 2K (если пользователь такой же)

ИЛИ

Чтобы увидеть, что используется другая пользовательская команда ( например, user = test)

su test
history

выше команда нуждается в привилегиях sudo или root.

Программное обеспечение, используемое для мониторинга системы linux:

Nagios: fail2ban

Splunk: http://www.splunk.com/ ru_us / download / splunk-enterprise.html

Zabbix: http://www.splunk.com/en_us/download/splunk-enterprise.html

[d32 ] [Выше]

OR

Уведомить пользователя lgoin по электронной почте: https: //www.tiger-computing .co.uk / get-linux-to-notify-every-ssh-login /

nano /etc/profile

if [ -n "$SSH_CLIENT" ]; then
TEXT="$(date): ssh login to ${USER}@$(hostname -f)"
TEXT="$TEXT from $(echo $SSH_CLIENT|awk '{print $1}')" 
echo $TEXT|mail -s "ssh login" you@your.domain
fi

Sir_Scofferoff · Answer 1 · 23 May 2018 в 13:42