The Diary
Дневникът на Jul
<- Дневника
Добавяне на коментар
Петък, 2 Ноември 2007
След вчерашния пост за триизмерна анимация съм зарибен да напиша още малко смислени думи. Може би под въздействието на бирата :-).
Искам да кажа, че си мислех преглеждайки за какво съм писал досега, че съм споменавал за някой стъпки, които съм предприемал да направя гризача малко по неприветлива цел за дребното скрипт киди (не не се заблуждавам, че мог да спра един истински добър български звяр). Но поне спирайки достъпа до ssh за всички потребители на системата които няма какво да правят отдалечено на нея и затягайки малко други услуги на нея е добре, но пък коментара на Марин за тъпаците, които пробват брутфорс на пароли беше дълго време причина да губя време ровейки из auth.log-а за някой успешен опит. Известно време след това попаднах на ето тази екстра - OSSEC. Това е програмка, за активно наблюдение и контрол на достъпа до дадена машина. Тя заедно със средствата за пасивен контрол дават възможност да се намали риска от нежелани посетители. Идеята е проста - програмката следи логовете на една камара програми и като засече, нещо нередно и праща мейл, сми или каквото и да е и/или пуска някаква програмка на сървъра.
Пример 1: ТЪПАК1 пробва брутфорс на паролата за потребителско име iamstupid, какъвто няма - 5 опита и OSSEC дига тревога - multiple login attempts for unknown user iamstupid и го слага в drop листата за 30 мин.
Пример 2: ТЪПАК2 пробва с root - същата работа, но понеже е бил малко по умен има цеели 6 опита, ама като се оцвъка получава цял час наказание. От една страна това разграничаване е добре, но пък издава валидни потребители. Това обаче не е много страшно ако сте пуснали само потребителя guessthisdifficultname за отдалече достъп.
И накрая пример 3: ТЪПАК3 или ВИРУС1 пробват експлоит на apache-то. Дори и да успее, опита им бива прихванат и пак биват резнати, освен това процеса може да бъде рестартиран за да се избегне евентуално да остане някоя отворена вратичка.
Естествено всичкото това нещо, може да се настройва и човърка много, може да му се пишат допълнителни правила, а и се обновява относително често. Като цяло, съм доволен от постигнатите резултати с него, вече близо година го ползвам и времето, което отделям да проверя здравето на сървъра намаля поне с фактор 20.
[ Добави коментар ]Добавяне на коментар
Except where otherwise noted the content of this site is licensed under a
Creative Commons Attribution License.Comments, texts and pictures not signed by me are property of their respective owners.
(c) 2003-2005 by Georgi Chorbadzhiyski. Some rights reserved.
Страницата е генерирана от Glog v3.50