আমার কাছে একটি ম্যাক মিনি সার্ভার রয়েছে যা ওএস এক্স লায়ন সার্ভার 10.7.3 চলছে। এটি সমস্যা ছাড়াই দারুণভাবে চালিত হয় runs তবে লগ অনুসারে সার্ভারটি নিয়মিত "আক্রমণ" চলছে। ফায়ারওয়াল এবং সুরক্ষা এটি ধরে রেখেছে।

এসএসএইচ, অ্যাডমিন টুলস বা এআরডি ব্যবহার করে যখনই / কেউ সার্ভারে লগইন করে আমাকে কোনও ইমেল পাঠাতে পারে এমন কোনও অ্যাপ্লিকেশন / স্ক্রিপ্ট রয়েছে কি?

যেহেতু মেশিনটি অবিচ্ছিন্নভাবে চালিত হয়, অন্য কোনও শহরে একটি ডেটাসেন্টারে শিরোনামহীন, তাই আমি উদ্বিগ্ন যে কেউ (খাঁটি দৃ through়তার সাথে) কোনও পাসওয়ার্ড ফাটাতে বা সিস্টেমে কোনও আপস খুঁজে পেতে পারে। আমি সতর্ক হয়ে যাব তা জেনে আমার মনকে সহজ করে দেবে।

আপনার সেরা প্রতিরক্ষা সর্বদা অপ্রয়োজনীয় পরিষেবাগুলি বন্ধ করা। যদি আপনি রিমোট ডেস্কটপ ব্যবহার না করেন: এটি বন্ধ করুন। আপনি যদি HTTP বা FTP সার্ভার ব্যবহার না করে থাকেন: সেগুলি বন্ধ করুন them কম পরিষেবা চলমান, সম্ভবত অনুপ্রবেশকারীদের কাজে লাগানোর জন্য প্রবেশের কম পয়েন্ট।

এটিকে লক করা ছাড়াও, কয়েকটি ফ্রি এবং ওপেন সোর্স পণ্য রয়েছে যা ওএস এক্স বান্ধব আপনি আপনার মেশিনে অনুপ্রবেশ সনাক্তকরণের দিকে নজর দিতে পারেন।

হ্রেষাধ্বনি

যদিও আমি ব্যক্তিগতভাবে এটি পরিচালনা করি নি, তবে আমার কাছে এমন সহকর্মী আছেন যারা অনুপ্রবেশ সনাক্তকরণের জন্য এটি জানেন এবং বিশ্বাস করেন। এটি বিএসডি-সামঞ্জস্যপূর্ণ তাই এটি ওএস এক্সের জন্য এটি একটি ভাল ফিট করে Sn স্নোর্টের সাথে যাওয়ার আরও একটি উল্টো দিকটি এটি হোমব্রিউ প্যাকেজ হিসাবে উপলব্ধ :

> brew info snort
snort 2.9.0.5
http://www.snort.org
Depends on: daq, libdnet, pcre
Not installed
https://github.com/mxcl/homebrew/commits/master/Library/Formula/snort.rb

==> Caveats
For snort to be functional, you need to update the permissions for /dev/bpf*
so that they can be read by non-root users.  This can be done manually using:
    sudo chmod 644 /dev/bpf*
or you could create a startup item to do this for you.

সুতরাং আপনি ইনস্টলেশনটির সরলীকরণের পথ পান এবং কিছুটা বিশ্বাস যে এটি ওএস এক্সকে ভালভাবে বন্দর করে এবং সেখানে চলে। সঙ্গে Homebrew ইনস্টল আপনি শুধুমাত্র করতে হবে:

> brew install snort

এবং আপনি এটি দিয়ে শুরু করতে প্রস্তুত।

ওএস এক্স লায়ন সার্ভার সেটআপ গাইডের জন্য এই স্নোর্টটি যা আপনার ওএস এক্স মেশিনের জন্য রুল রাইটিং দিয়ে শুরু করার জন্য স্নর্ট সম্প্রদায় সরবরাহ করে। এটি দুর্দান্ত দস্তাবেজ এবং উত্স থেকে স্নোর্ট ইনস্টল করার মাধ্যমে হাঁটার পাশাপাশি (যা আপনাকে করার দরকার নেই) এটি সুরক্ষিত করতে আপনার ওএস এক্স লায়ন সার্ভার উদাহরণটি আপনার করা উচিত এমন সমস্ত বিষয় সম্পর্কেও কথা বলে। আপনি যদি হোমব্রিউয়ের মাধ্যমে ইনস্টল করেন, পিডিএফের বিভাগ 5 (পৃষ্ঠা 13) থেকে শুরু করুন যেহেতু আপনার উত্স কোড থেকে এটি ইনস্টল করার বিষয়ে চিন্তা করার দরকার নেই।

Tripwire

দ্রুত অনুপ্রবেশ সনাক্তকরণ এবং সতর্কতা করতে আমি লিনাক্স মেশিনে ট্রিপওয়ায়ার চালিয়েছি । এটি কার্যকর তবে এটি সেট আপ করতে কিছুটা জন্তু। লগ ফাইলগুলির বিরুদ্ধে বিধিগুলি মিলে গেলে এটি ক্রিয়া সম্পাদন করতে পারে। অবশ্যই, একজন জ্ঞানহীন হ্যাকার ট্রিপওয়ায়ারকে ব্রেক করার সাথে সাথেই অক্ষম করতে শিখতে চলেছে যাতে তারা তাদের সেশনটি কাটা শেষ না করে।

ম্যাকওয়ার্ড ইঙ্গিতটি ওএস এক্সে ট্রিপওয়ায়ার স্থাপনের কথা বলে । এটি সহজ নয় এবং নিবন্ধটি পরীক্ষা করা হয়নি উল্লেখ করে শেষ হয়।

আপনি ssh কঠোর করতে পারেন এবং অস্বীকারকারী, শ্যাশগার্ড এবং স্নোর্ট, বার্নইয়ার্ড, বেস এবং স্যাচ ইনস্টল করতে পারেন।

বিস্তারিত জানার জন্য এই লিঙ্কগুলি দেখুন:

https://discussion.apple.com/thread/3565475 https://discussion.apple.com/thread/4473229?tstart=0

1. রুট এবং পাসওয়ার্ড লগইন বন্ধ করুন:

   vi /etc/sshd_config

   PermitRootLogin no
PasswordAuthentication no
ChallengeResponseAuthenticatio no

   তারপরে ssh-keygenসার্ভারে দূরবর্তী অবস্থান থেকে লগইন করতে ব্যবহার করা যেতে পারে এমন সরকারী / ব্যক্তিগত কী তৈরি করতে দূরবর্তী ক্লায়েন্টে ব্যবহার করুন:  

   client$ ssh-keygen -t rsa -b 2048 -C client_name [Securely copy ~/.ssh/id_rsa.pub from client to server.] server$ cat id_rsa.pub > ~/.ssh/known_hosts  

2. অস্বীকৃতি ও শ্যাশগার্ড ইনস্টল করুন।

   • sudo port install denyhosts sshguard
   • sudo port load denyhosts
   • sudo port load sshguard

   আপনি কেবল ট্র্যাফিক ট্র্যাফিক নয়, সমস্ত ট্র্যাফিক ব্লক করতে অস্বীকারকারীদের কনফিগার করতে পারেন।

3. আক্রমণগুলির একটি বিশ্ব মানচিত্র সহ স্নর্ট:

   https://discussions.apple.com/thread/4473229?tstart=0

সরাসরি উত্থাপিত প্রশ্নের উত্তর দিতে। আমার কাছে অন্য স্ক্রিপ্ট রয়েছে যা আমাকে আবার ইমেল করে, মধ্যরাতের আশেপাশে, কেউ যদি সফলভাবে এসএসএসের মাধ্যমে লগ ইন করে।

#!/usr/bin/env bash

mm=`date +%b`
dd=`date $1 +%d`
dd=`expr $dd`
if [ "$dd" -ge "10" ]
  then 
    dt=`echo "$mm $dd"` 
  else 
    dt=`echo "$mm  $dd"` 
fi

cat /var/log/secure.log | grep -E '(Accepted|SUCCEEDED)'| grep -E -v '(my.ip.address|192.168.1)' | grep "$dt" >> /tmp/access_granted

/usr/bin/mail -E -s "Access granted" email@myserver.com < /tmp/access_granted
rm /tmp/access_granted

সম্পাদনা grepউপরে যদি তুমি চাও, আপনার নিজের সংশোধন আইপি অগ্রাহ্য করা হবে এবং আপনার ইমেল ঠিকানা ব্যবহার করতে। ভিএনসির ব্যর্থতা যুক্ত করতে আপনি আমার অন্যান্য উত্তরে কিছু কোড সংযুক্ত করতে পারেন।

Fail2ban এ কিছুটা প্রসারিত করার জন্য , এটি একবার সেট আপ এবং চলমান হয়ে গেলে আমার কাছে একটি স্ক্রিপ্ট আছে যা আমি মধ্যরাতের ঠিক আগে চালিত যা লগগুলিকে স্ক্র্যাপ করে এবং আমাকে ফেইলবাবান আগের দিনের জন্য যা করছে তা ইমেল করে।

স্ক্রিপ্টটি নীচে রয়েছে এবং ক্রোন বা লঞ্চ করা প্লিস্ট থেকে চালানো যেতে পারে।

#!/usr/bin/env bash

mm=`date +%b`
dd=`date $1 +%d`
dd=`expr $dd`
if [ "$dd" -ge "10" ]
  then 
    dt=`echo "$mm $dd"` 
  else 
    dt=`echo "$mm  $dd"` 
fi

cat /var/log/system.log | grep "$dt" | grep org.fail2ban | grep -v COMMAND > /tmp/fail2ban_deny
cat /var/log/fail2ban.log | grep -E '(WARN|ERR|rotation|target)' | grep `date $1 +%Y-%m-%d` >> /tmp/fail2ban_deny
cat /var/log/ipfw.log | grep TCP | grep "$dt" >> /tmp/fail2ban_deny
cat /var/log/secure.log | grep VNC | grep FAILED | grep "$dt" >> /tmp/fail2ban_deny


/usr/bin/mail -E -s "Fail2ban ipfw" email@yourserver.com < /tmp/fail2ban_deny
rm /tmp/fail2ban_deny

আপনাকে অবশ্যই আপনার পছন্দের ইমেল ঠিকানাটি ব্যবহার করতে হবে।

Fail2ban সেট আপ করা সম্পূর্ণ অন্য একটি সমস্যা। আমি এটি সম্পর্কে ব্যাপকভাবে লিখেছি।

আপনার যদি এক্স কোড কমান্ড লাইন সংকলক ইনস্টল থাকে তবে ম্যাক ওএস এক্সে গুগল প্রমাণীকরণকারী পিএএম প্লাগইন ইনস্টল করা মোটামুটি সহজ। কোড এবং নির্দেশাবলী এখানে:

https://code.google.com/p/google-authenticator/wiki/PamModuleInstructions

একবার আপনি আপনার টোকেন শুরু করার পরে (আপনার ফোনে অ্যাপটিতে ফিড দেওয়ার মতো একটি কোড তৈরি করুন) আপনার মেশিনটিকে সুরক্ষিত করার জন্য দুটি ফ্যাক্টর প্রমাণীকরণ পাবেন। প্রাথমিক টোকেন ব্যতীত যে কোনও অ্যাকাউন্ট লগইন করতে সক্ষম হবে না, সুতরাং আপনি যদি রুট লগইনকে অনুমতি দিতে না চান তবে সেই অ্যাকাউন্টের জন্য কোনও কী শুরু করবেন না।

তবে গুরুত্ব সহকারে, আপনাকে যদি ইন্টারনেটে এসএসএইচ খোলা রাখতে হয় তবে ড্যানিহোস্টের মতো কিছু ঠিক তা বোঝায় makes দুর্ভাগ্যক্রমে, ম্যাক ওএস এক্স ভি 10.8-এর পর থেকে, অ্যাপল সরানো tcpwrappers এসএসএইচ ডেমন থেকে সমর্থন করে, তাই এটি /etc/deny.hosts উপেক্ষা করে, যদি আপনি আমাকে জিজ্ঞাসা করেন, কোনও সুরক্ষা বৈশিষ্ট্য সরিয়ে দেয়।

এর আশেপাশে কাজ করার জন্য, আমি ম্যাকপোর্টসকে একটি আপ টু ডেট ওপেনশ ডেমন ইনস্টল করার জন্য ব্যবহার করেছি এবং সম্পূর্ণ টিসিপিওয়্যার্পার্স কার্যকারিতা পুনরুদ্ধার করতে, /var/log/system.log নিরীক্ষণ করতে এবং DenyHosts ডিমন ব্যবহার করে এবং লগইন এবং পাসওয়ার্ড অনুমান করা আইপি নিষিদ্ধ করে । এবং ম্যাকপোর্টগুলি আপডেট করতে এবং ওএসএস আপগ্রেড করার পরে ওপেনশ / ডিএনহোস্টগুলি পুনরায় ইনস্টল করতে ভুলবেন না।

শুভকামনা!

আমি বুঝতে পারি যে এটি একটি পুরানো পোস্ট তবে আমি বুঝতে পেরেছিলাম এটি এমন কাউকে সহায়তা করতে পারে যা ওয়েবে স্ক্রোল করার জন্য প্রোগ্রাম বা তাদের সময় বাঁচাতে পারে না। আমি কেবল আমার মধ্যাহ্নভোজের বিরতিতে এটি লিখেছিলাম এবং এটি সফল এবং ব্যর্থ প্রচেষ্টা পাশাপাশি ব্যর্থ চেষ্টার মাধ্যমে অবরুদ্ধ আইপিগুলি ইমেল করবে। প্রোগ্রামটি রুবিতে লেখা আছে। মেল এবং ফাইল-লেজ রত্নের সাথে সেন্ডমেল ইনস্টল করা আছে।

উত্স কোড নীচে:

#!/usr/local/bin/ruby

require 'mail'
require 'file-tail'

def sendMail(mail_subject,mail_body,dest_email,port)
  Mail.defaults do
    delivery_method :smtp, address: "localhost", port: port
  end

  mail = Mail.new do
    from     'root@localhost.com'
    to        dest_email
    subject   mail_subject
    body      mail_body
  end

  mail.delivery_method :sendmail
  mail.deliver
end

File.open('/var/log/auth.log') do |log|
  log.extend(File::Tail)
  log.interval = 10
  log.backward(1)
  log.tail do |line| 
    puts line if line.match(/ssh.*accepted password.*$/i)
    sendMail('New SSH Connection',line,'youremail@gmail.com',445) if line.match(/ssh.*accepted password.*$/i)

    puts line if line.match(/ssh.*failed password.*$/i)
    sendMail('Failed SSH attempt',line,'youremail@gmail.com',445) if line.match(/ssh.*failed password.*$/i)

    puts line if line.match(/sshguard.*$/i)
    sendMail('SSH IP Blocked', line,'youremail@gmail.com',445) if line.match(/sshguard.*$/i)
  end
end