가정용 데스크톱에 적합한 자동 침입 알림 / 탐지 설정은 무엇입니까?

나는 꽤 오랫동안 리눅스를 사용하고 있었고 항상 스캔이나 로그인 시도 실패와 같은 의심스러운 네트워크 활동을 이메일이나 이메일로 알려줄 수있는 수동 소프트웨어 / 스크립트 설정이 항상 필요하다고 느낀다. 시각 / 음성 알림.

나는 로그와 물건을 찾는 방법을 알고 있지만 대부분은 수동적이고 시간이 많이 걸리는 프로세스입니다. 좋은 로그 파싱 기능으로 반 / 완전히 자동화 된 것을 찾고 있습니다.

나는 Snort 등과 같은 네트워크를 모니터링하기위한 IDS 시스템을 알고 있지만 일반 가정 사용자에게는 과잉이며 시작하고 실행하는 데 어려움이 있습니다.

개인 사용자로서 나에게 좋은 옵션은 무엇입니까?

간단하고 효과적인 일반 솔루션은 logcheck 를 사용하는 것 입니다 .

sudo apt-get install logcheck
[edit /etc/logcheck/logcheck.conf to your liking]

logcheck는 주기적으로 모든 로그를 효율적으로 스캔하고 (마지막으로 중단 된 시점부터 시작) 정상으로 간주되는 항목을 제거하기 위해 표시되는 항목을 필터링하고 선택적으로 정상 / 루틴 패턴과 일치하지 않는 항목으로 경고를 이메일로 보냅니다.

주요 아이디어는 항상 로그 파일에 심각한 항목이 나타나는지 항상 감시하는 것이므로 조심할 필요가 없습니다.

logcheck 는 고도로 구성 가능합니다 (man logcheck). 다음을 포함하여 모든 것을 구성 할 수 있습니다.

• 점검 빈도
• 확인 된 로그 파일
• 정상으로 간주되는 것과 그렇지 않은 것
• 알림 (비정상 이벤트)을 이메일로 보낼 곳

그리고 더. 무시 (정상 / 루틴) 패턴은 /etc/logcheck/ignore.d.* 아래의 여러 파일에 있으며 필요에 따라 사용자 정의 할 수 있습니다. 주로 무시할 자신 만의 패턴을 추가 할 수 있습니다. 기본 우분투 패키지는 이미 많은 서비스에 대한 무시 패턴을 가진 광범위한 파일 세트와 함께 제공되므로 시스템이 실행되는 방식이 비정상적이지 않으면 추가 할 것이 없습니다. 미리 구성된 ignore 파일 프로파일에는 ignore.d.workstation , ignore.d.server 및 ignore.d.paranoid 의 3 가지 세트가 있습니다.

뒤에 주요 아이디어 logcheck는 시스템에서 실행되는 다양한 서비스가 이미 비정상적인 이벤트를 기록한다는 것입니다. 예를 들어 sshd 또는 pam은 이미 인증 실패를 기록합니다. 따라서 주요 누락 구성 요소는 다음과 같습니다.

• 정상 필터링
• 경고 서비스

둘 다 편리한 패키지 에 logcheck 로 제공됩니다. logcheck 을 다른 로깅과 결합 할 수 있습니다 . 예를 들어 iptables 는 규칙을 추가하여 명시 적으로 허용되지 않은 네트워크 연결 시도 를 syslog 하도록 구성 할 수 있습니다 .

 iptables -A input -j LOG
 iptables -A input -j DROP

모든 허용 규칙 직후.

내가 찾을 수 logcheck 보다 훨씬 더 많은 도움이 될 logwatch 정상 활동으로 간주 무엇을 무시하는 규칙의 매우 많은 수의 패키지 사전 오기 때문에 (다른 답변에서 제안). 결과적으로 이메일 알림에서 신호 / 소음 비율이 훨씬 높아집니다. YMMV.

의 또 다른 장점 logcheck는 이 때문이다 직교 로그, 그래서 기능에는 중복이 없다는 것을 모든 서비스에. syslog비정상적이든 아니든 이벤트를 로그 하는 데 사용하는 새 서비스를 파일 아래에 추가 할 때마다 /var/log자동으로 경고를 받기 시작합니다.

어떻게:

때문에 logcheck이미 미리 구성되어 있습니다,이 답변의 상단에있는 두 줄은 기본적으로 모든 사용자가 시작하는 데 필요한 다룹니다. 그냥 설치하고 최상위 구성 파일로 이동 /etc/logcheck/logcheck.conf하십시오. 전자 메일 주소를 변경하면 logcheck전자 메일이 사용자에게 경고합니다.

다음 은 두 번째 단계를 자세히 설명 하는 친근한 참조 입니다. 우분투는 데비안을 기반으로하기 때문에이 지침은 우분투에서도 작동합니다. 여기 또 다른 좋은 참고 자료가 있습니다.

설치하면 지속적인 개선 프로세스가 시작됩니다. 시간이 지남에 따라 이미 알고 있고 걱정해서는 안되는 것을 무시하도록 규칙을 세분화합니다. 이 개선 과정은 즐겨 사용하는 텍스트 편집기에서 파일에 텍스트 줄을 추가하는 것만 큼 간단합니다.

무시 파일의 각 줄은 확장 정규식 man 7 regex이지만 () 참조 하려는 로그 줄과 일치하는 간단한 문자열을 사용할 수 있습니다. 그냥 문자가 좋아하는 기억 *, ?'+' [], ()그들이 실제로 로그 라인에 표시하는 경우 그래서, 당신은 백 슬래시로 이스케이프해야 할 것, 정규 표현식에서 특별한 \(가) 파일을 무시한다.

다시 말해, 원하지 않는 경고를 받으면 전자 메일로 전송 된 로그 라인을보고 선택한 파일을 무시하는 파일에 해당 라인과 일치하는 패턴을 한 줄로 추가하십시오. /etc/logcheck/ignore.d.<yourloglevel>/my-ignores개인 무시 파일로 사용 하는 것이 좋습니다 . 어디 <yourloglevel>중 하나입니다 paranoid, server또는 workstation(당신은 이미 주요 설정 파일에서 선택한 같이 /etc/logcheck/logcheck.conf). 다른 무시 파일의 예제를보고 프로세스 ID 또는 타임 스탬프와 같이 항상 변경되는 텍스트를 설명하는 방법을 확인하십시오. 배울 기존 예제가 많이 있습니다.

마지막 팁 : 새로운 규칙을 테스트하는 데 매우 logcheck유용한 유용한 유틸리티가 제공됩니다 logcheck-test. man logcheck-test자세한 내용은.

네트워크에 시스템이 많지 않으면 Snort와 같은 IDS를 설정하는 것이 너무 과도 할 수 있습니다 (특히 컴퓨터에 네트워크 서비스가없는 경우). 시스템에서 무슨 일이 일어나고 있는지에 대한 보고서를 보내도록 logwatch를 구성하는 것이 좋습니다. 일단 설치하면 가능한 한 많은 관련 정보를 얻을 수 있도록 syslog를 구성하십시오.

네트워크에서 서비스 (ftp, web, nfs, ssh 등)를 실행할 때 침입 탐지가 필요합니다. 인터넷에 노출되어 있기 때문입니다.

• 미스 구성
• 소프트웨어 취약점

숙련 된 네트워크 관리자가 매일 모니터링해야합니다. 이 서비스를 실행하면이 문제를 피하는 방법에 대한 최소한의 지식이 이미있을 것입니다.

이 서비스를 실행하지 않으면 인터넷 라우터 방화벽이 이미 포트에서 들어오는 연결을 차단 한 것입니다. 네트워크 라우터를 스캔하려면

• https://www.grc.com/x/ne.dll?bh0bkyd2를 방문 하십시오.
• "진행"을 클릭하십시오
• 열려있는 포트를 확인하려면 "모든 포트"를 선택하십시오.

당신이 모두 녹색이라면, 당신은 모두 좋습니다.

마지막으로, 라우터에는 내장 침입 탐지 시스템이있을 수 있습니다 (모든 라우터의 99 %가 스트라이프 다운 Linux 서버를 실행하기 때문). 이를 위해서는 라우터 제조업체의 설명서를 확인해야합니다.