К основному контенту

👩🦽 Настройка bridge на Debian , выполняющий роль межсетевого экрана

# Задача: хотим внедрить в своей сети мост (bridge) на Debian,# выполняющий также задачи межсетевого экрана,# т.е. получить возможность фильтрации трафика, не сильно меняя топологию# и совсем не меняя адресацию в сети и шлюз по умолчанию.# Желательно, чтобы мост-МЭ при этом вообще не имел IP-адресов# на интерфейсах (обращенном наружу и смотрящему в защищаемую сеть)# Администрировать его и смотреть на нем логи предлагается локально# или путем подключения к выделенной сети администрирования# Ставим его в сети так, чтобы одним интерфейсом моста он был# подключен к провайдеру или другому уже имеющемуся шлюзу по умолчанию,# а другой «смотрел» в защищаемую ЛВС, например в порт коммутатора# Таким образом, приходящий извне трафик прежде чем попасть в защищаемую сеть# будет всегда проходить через мост на котором мы его будем фильтровать# с помощью iptablesСхема тестового стенда

Как установить и настроить IDS на хосте AIDE в RHEL 8 / CentOS 8

AIDE (усовершенствованная среда обнаружения вторжений) — это основанная на хосте система обнаружения вторжений (HIDS) для проверки целостности файлов.

AIDE создает базовую базу данных файлов при первом запуске, а затем проверяет эту базу данных по системе при последующих запусках.

Свойства файла, которые можно проверить, включают:

  • Inoda
  • права доступа
  • Время модификации
  • Содержимое файла и т. д.

Обратите внимание, что AIDE не проверяет руткиты и не анализирует файлы журналов на наличие подозрительных действий.

5 инструментов для сканирования Linux-сервера на вредоносные программы и руткиты

Для этого вы можете использовать другие системы HIDS, такие как OSSEC.

Бесплатный инструмент Host & Endpoint Security: Wazuh

Как установить AIDE на RHEL 8

Пакет AIDE доступен по умолчанию в репозиториях RHEL 8.

Просто выполните команды ниже, чтобы установить его.

sudo yum -y install aide

Чтобы посмотреть больше деталей пакета.

$ rpm -qi aideName: aideVersion : 0.16Release : 8.el8Architecture: x86_64Install Date: Wed 02 Jan 2019 10:19:13 AM EATGroup : UnspecifiedSize: 382492License : GPLv2+Signature : RSA/SHA256, Fri 12 Oct 2018 02:15:34 PM EAT, Key ID 199e2f91fd431d51Source RPM: aide-0.16-8.el8.src.rpmBuild Date: Wed 10 Oct 2018 08:50:10 PM EATBuild Host: x86-vm-08.build.eng.bos.redhat.comRelocations : (not relocatable)Packager: Red Hat, Inc. http://bugzilla.redhat.com/bugzillaVendor: Red Hat, Inc.URL : http://sourceforge.net/projects/aideSummary : Intrusion detection environmentDescription :AIDE (Advanced Intrusion Detection Environment) is a file integritychecker and intrusion detection program.

Настройка AIDE на RHEL 8

Файл конфигурации по умолчанию  /etc/aide.conf имеет довольно нормальные значения по умолчанию и тщательно прокомментирован.

Если вы хотите изменить правила, смотрите:

 man aide.conf

Установите /var/log для мониторинга

Отредактируйте строку /var/log в /etc/aide.conf и измените

/var/log LOG

на

/var/log p+u+g+i+n+acl+selinux+xattrs

Инициализируйте базу данных

Вы можете вносить другие изменения по своему желанию. Когда закончите, инициализируйте базу данных AIDE, выполнив команду:

$ sudo aide --init Start timestamp: 2019-01-02 10:43:56 +0300 (AIDE 0.16)AIDE initialized database at /var/lib/aide/aide.db.new.gzNumber of entries:36380The attributes of the (uncompressed) database(s):/var/lib/aide/aide.db.new.gzMD5: oNfFcURzLLDyAJjlLWAM1A==SHA1 : k8ln2HHU9ylfP2Btvmvubt+CxDs=RMD160 : ln350FamsGUpt5TdLNMvDGRc18w=TIGER: d3nafwSfYSC83zQTII9WpPNTo4iI0xTQSHA256 : 4vybmPIwHjO0Lmp1gePwoohUx/Gi9wC9KTPPhvoYWNk=SHA512 : SjrNZ94tZGoJImhLsY6Pah/P4JwwKJ7jIDxOoTvflM1roQWpjtK22HCvozXPycIp26E/AtBZz9KY+urxFQq5NA==End timestamp: 2019-01-02 10:44:23 +0300 (run time: 0m 27s)

Когда закончите, скопируйте созданный файл базы данных AIDE в основную базу данных.

sudo cp -p /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

Чтобы проверить конфигурацию AIDE, используйте:

$ sudo aide -D

Проверьте базу данных по базовой базе данных, используйте:

$ sudo aide --checkStart timestamp: 2019-01-02 10:57:22 +0300 (AIDE 0.16)AIDE found differences between database and filesystem!!Summary:Total number of entries:36380Added entries:0Removed entries:0Changed entries:1Changed entries:f = … mc..C… : /var/log/lastlogDetailed information about changes:File: /var/log/lastlogMtime: 2019-01-02 10:16:52 +0300| 2019-01-02 10:53:53 +0300Ctime: 2019-01-02 10:16:52 +0300| 2019-01-02 10:53:53 +0300SHA256 : x7kD8sPdgABF4g4Bqtg0bn1NQAEmrd0Q | BuJ2L78swglnMol2Fi/PvzdQommDhy/a7p818Je1NeY= | Zk+qg77jXYM=SHA512 : AVN6NJXSLJSVe3WzCl9f4hE0BrHMN/Sz | cduO7gO6MIzpnndpakge01potUDeMnn1WB4To8uhsa7X5YWvg3pbMoIm5571Hdd2 | lNtsoP2N2zQNPSJNEMQxhy/78JdL6N5qkxFERBgvE/6Yk/cSM5Vm4g== | K8EJ9/YNV+2RGJbRgiaCxA==The attributes of the (uncompressed) database(s):/var/lib/aide/aide.db.gzMD5: oNfFcURzLLDyAJjlLWAM1A==SHA1 : k8ln2HHU9ylfP2Btvmvubt+CxDs=RMD160 : ln350FamsGUpt5TdLNMvDGRc18w=TIGER: d3nafwSfYSC83zQTII9WpPNTo4iI0xTQSHA256 : 4vybmPIwHjO0Lmp1gePwoohUx/Gi9wC9KTPPhvoYWNk=SHA512 : SjrNZ94tZGoJImhLsY6Pah/P4JwwKJ7jIDxOoTvflM1roQWpjtK22HCvozXPycIp26E/AtBZz9KY+urxFQq5NA==End timestamp: 2019-01-02 10:57:40 +0300 (run time: 0m 18s)

Если вы измените файл и перепроверите, вы должны увидеть изменения.

$ ll /etc/issue-rw-r--r--. 1 root root 23 Oct 16 10:39 /etc/issue$ sudo chmod 0664 /etc/issue$ ll /etc/issue-rw-rw-r--. 1 root root 23 Oct 16 10:39 /etc/issue$ sudoaide --check............................................File: /etc/issuePerm : -rw-r--r-- | -rw-rw-r--Ctime: 2018-12-30 23:45:39 +0300| 2019-01-02 11:06:07 +0300ACL: A: user::rw- | A: user::rw-A: group::r--| A: group::rw-A: other::r--| A: other::r--...............................................................# Revert the change$ sudo chmod 0644 /etc/issue

Чтобы проверить базу данных и обновить ее, используйте:

$ sudo aide --updateStart timestamp: 2019-01-02 11:01:05 +0300 (AIDE 0.16)AIDE found differences between database and filesystem!!New AIDE database written to /var/lib/aide/aide.db.new.gzSummary:Total number of entries:36380Added entries:0Removed entries:0Changed entries:1Changed entries:f = … mc..C… : /var/log/lastlogDetailed information about changes:File: /var/log/lastlogMtime: 2019-01-02 10:16:52 +0300| 2019-01-02 10:53:53 +0300Ctime: 2019-01-02 10:16:52 +0300| 2019-01-02 10:53:53 +0300SHA256 : x7kD8sPdgABF4g4Bqtg0bn1NQAEmrd0Q | BuJ2L78swglnMol2Fi/PvzdQommDhy/a7p818Je1NeY= | Zk+qg77jXYM=SHA512 : AVN6NJXSLJSVe3WzCl9f4hE0BrHMN/Sz | cduO7gO6MIzpnndpakge01potUDeMnn1WB4To8uhsa7X5YWvg3pbMoIm5571Hdd2 | lNtsoP2N2zQNPSJNEMQxhy/78JdL6N5qkxFERBgvE/6Yk/cSM5Vm4g== | K8EJ9/YNV+2RGJbRgiaCxA==The attributes of the (uncompressed) database(s):/var/lib/aide/aide.db.gzMD5: oNfFcURzLLDyAJjlLWAM1A==SHA1 : k8ln2HHU9ylfP2Btvmvubt+CxDs=RMD160 : ln350FamsGUpt5TdLNMvDGRc18w=TIGER: d3nafwSfYSC83zQTII9WpPNTo4iI0xTQSHA256 : 4vybmPIwHjO0Lmp1gePwoohUx/Gi9wC9KTPPhvoYWNk=SHA512 : SjrNZ94tZGoJImhLsY6Pah/P4JwwKJ7jIDxOoTvflM1roQWpjtK22HCvozXPycIp26E/AtBZz9KY+urxFQq5NA==/var/lib/aide/aide.db.new.gzMD5: QCnHueXv69soyePzxSVNHg==SHA1 : erpgcR9xv6CKiDGBkrZn5xdPwhk=RMD160 : MOPpCCAPRosIpTzu2eCGzSyfZyY=TIGER: PlVr5EYqxn9uvQB7GI9/r5+SKvjiLASoSHA256 : dG5abCnUCW3k11uh9UFB8Xkc8sF4S17W6FxhCa7kXoI=SHA512 : HUfQd5GI1fEXSDOTsX5TWAlkwla7mG8Yg3rdtbtVmN2ss8ytehA8s68cT6aGvWdEpJf8WJ8vj7gEGKAIZkcJqw==End timestamp: 2019-01-02 11:01:25 +0300 (run time: 0m 20s)

Установите обновление в cron и уведомление по электронной почте

Для этого мы будем использовать предварительно созданный скрипт.

Загрузите его с помощью wget

sudo yum -y install wgetwget https://rfxn.com/downloads/cron.aide -Oaide_cron.shchmod +x aide_cron.sh

Отредактируйте файл, чтобы задать адреса электронной почты (через запятую) для отчетов об изменениях.

email="root@localhost,admin@example.com"

Установите cron

# crontab -e00 01 * * * /path/to/cron/script

Это все. Наслаждайтесь вашей системой обнаружения вторжений на RHEL.

Комментарии


Дистанционная компьтерная помощь, удаленная компьютерная помощь онлайн.

Популярные сообщения из этого блога

Лучшие плагины для OBS Studio

Open Broadcast Software или OBS - это свободное программное обеспечение с открытым исходным кодом для стриминга аудио и видео данных в сеть интернет. Программа полностью кроссплатформенная и может работать в Windows, Linux или MacOS. Это отличная альтернатива для таких программ, как Wirecast и XSplit. OBS использует для вещания стандартный протокол обмена сообщениями в реальном времени, а поэтому может транслировать данные в любой сервис, поддерживающий это, например, Yotube. Несмотря на широкие возможности OBS, программа поддерживает еще и множество плагинов. В этой статье мы рассмотрим лучшие плагины для OBS Studio, которые вы можете использовать. Содержание статьи: Лучшие плагины OBS Studio 1. Browser Source Plugin 2. Video Source Plugin 3. Simple Scene Switcher 4. DirectShow Audio Source 5. CLR Browser Source 6. OBS Remote 7. AMD Advanced Media Framework Encoder 8. Text Source Plugin Выводы Лучшие плагины OBS Studio Чтобы найти плагины OBS Studio для Video пользователям пр…

Лучшие аналоги Paint для Linux

Когда я работал в Windows, я часто использовал стандартную программу редактора изображений Windows - Paint. Не всегда нужен очень и многофункциональный инструмент вроде Photoshop или Gimp. Иногда, чтобы подправить ту или иную картинку, дорисовать на ней несколько фигур или вставить текст достаточно простого, легкого в освоении графического редактора вроде Paint. В Linux таких программ довольно много. В этой инструкции мы рассмотрим лучшие аналоги Paint для Linux. В этот список не будут включены такие программы, как Gimp и Krita, ведь это полнофункциональные графические редакторы, векторные редакторы, такие как Inkscape мы тоже рассматривать не будем. А теперь перейдем к списку. Содержание статьи: KolourPaint MyPaint Gnome Paint XPaint Pinta mtPaint GPaint Rassam-paint Выводы KolourPaint На первом месте в списке аналогов Piant для Linux будет KoloutPaint. Это стандартный графический редактор для окружения рабочего стола KDE. Он поддерживает множество форматов изображений PNG, J…

Подключение OneDrive в Linux

OneDrive (Ранее известный как SkyDrive) это популярное облачное хранилище файлов от Майкрософт. Сейчас OneDrive бесплатно предоставляет 7 гигабайт пространства новым пользователям. Как вы знаете OneDrive хорошо интегрирован с другими продуктами компании  Microsoft. В OneDrive Также есть официальный клиент который автоматически загружает ваши видео и фотографии с камеры в облако. Но к сожалению этот клиент недоступен для операционных систем семейства Linux. Но не все так плохо. Сообщество открытого программного обеспечения уже нашло решение. Это opedrive-d от Boilermaker. Запустившись как демон программа автоматически синхронизирует локальную папку с облаком OneDrive. Содержание статьи: Установка Onedrive-d в Linux Настройка Синхронизация локальной папки с OneDrive Установка Onedrive-d в Linux Несмотря на то что onedrive-d разрабатывается для Ubuntu/Debian, CentOs/Fedora/RHEL поддерживается тоже хорошо. Для установки достаточно набрать несколько команд: $ git clone https://gith…