হোম ডেস্কটপ ব্যবহারের জন্য কোন স্বয়ংক্রিয় অনুপ্রবেশ বিজ্ঞপ্তি / সনাক্তকরণ সেটআপ ভাল?


27

আমি বেশ কিছুদিন ধরে লিনাক্স ব্যবহার করছি এবং আমি সর্বদা একটি প্যাসিভ সফ্টওয়্যার / স্ক্রিপ্ট সেটআপ করার প্রয়োজন বোধ করি যা ইমেল মাধ্যমে বা ফ্লাইতে কোনও সন্দেহজনক নেটওয়ার্ক কার্যক্রম যেমন স্ক্যান, ব্যর্থ লগইন প্রচেষ্টা ইত্যাদির বিষয়ে আমাকে সতর্ক করতে পারে feel ভিজ্যুয়াল / অডিও বিজ্ঞপ্তি।

আমি জানি লগ এবং স্টাফগুলির মাধ্যমে কীভাবে সন্ধান করা যায় তবে বেশিরভাগ অংশের জন্য এটি একটি ম্যানুয়াল, সময় সাপেক্ষ প্রক্রিয়া। আমি এমন কিছু সন্ধান করছি যা কিছু ভাল লগ পার্সিং ক্ষমতা সহ আধা / সম্পূর্ণ স্বয়ংক্রিয় ted

আমি স্নোর্ট ইত্যাদির মতো নজরদারি নেটওয়ার্কগুলির জন্য আইডিএস সিস্টেমগুলি সম্পর্কে সচেতন আছি তবে তারা গড় বাড়ির ব্যবহারকারীর জন্য একটি ওভারকিল এবং এটি উঠতে এবং চালানোর জন্য একটি বেদনাদায়ক প্রক্রিয়া।

হোম ব্যবহারকারী হিসাবে আমার জন্য ভাল বিকল্প কী?


আপনি কীভাবে 'প্যাসিভ' সংজ্ঞায়িত করেন? যেমনটি, আপনি নিজেই একবারে দৌড়ে যান এমন কিছু দেখতে যা কোনও মাছধরা চলছে কিনা?
Nanne

উত্তর:


15

একটি সহজ এবং কার্যকর সাধারণ সমাধান হ'ল লগচেক ব্যবহার করা ।

sudo apt-get install logcheck
[edit /etc/logcheck/logcheck.conf to your liking]

লগ চেক পর্যায়ক্রমে সমস্ত লগগুলি দক্ষতার সাথে স্ক্যান করে (এটি সর্বশেষবার ছেড়ে যাওয়া শুরু করে), এটি সাধারণ হিসাবে বিবেচিত কোনও কিছু দূর করতে যা দেখায় তা ফিল্টার করে এবং সাধারণ / রুটিন নিদর্শনগুলির সাথে মেলে না এমন কিছু দিয়ে optionচ্ছিকভাবে সতর্কতা ইমেল করে।

মূল ধারণাটি হ'ল আপনার লগ ফাইলগুলিতে যেকোন গুরুতর এন্ট্রিগুলির উপস্থিতির জন্য নজর রাখা, সেগুলি সব সময়, যাতে আপনার প্রয়োজন হয় না।

লগ চেক অত্যন্ত কনফিগারযোগ্য (man logcheck)। আপনি সবকিছু কনফিগার করতে পারেন, সহ:

  • চেক ফ্রিকোয়েন্সি
  • কোন লগ ফাইল চেক করা হয়
  • সাধারণ বনাম যা বিবেচিত হয় না
  • সতর্কতাগুলি (অস্বাভাবিক ঘটনাগুলি) কোথায় ইমেল করবেন

এবং আরও। আপনার উপেক্ষা (স্বাভাবিক / রুটিন) নিদর্শনগুলি /etc/logcheck/ignore.d.* এর অধীনে একাধিক ফাইলে থাকে এবং আপনি এগুলি আপনার প্রয়োজন অনুসারে কাস্টমাইজ করতে পারেন; প্রধানত আপনি এড়াতে আপনার নিজস্ব নিদর্শন যুক্ত করতে চাইতে পারেন। ডিফল্ট উবুন্টু প্যাকেজটি ইতিমধ্যে অনেক পরিষেবাগুলির জন্য উপেক্ষিত নিদর্শনগুলির সাথে ফাইলগুলির একটি বিস্তৃত সেট নিয়ে আসে, সুতরাং আপনার সিস্টেমটি যেটি চালায় তাতে অস্বাভাবিক না হলে যোগ করার বেশি কিছুই নেই। এখানে প্রাক-কনফিগার করা ফাইলের প্রোফাইলগুলি উপেক্ষা করুন: সেটেল.ড. ওয়ার্কস্টেশন , উপেক্ষা.ড.সার্ভার এবং উপেক্ষা.ড.প্যারানয়েড যা আপনি বেছে নিতে পারেন 3 সেট রয়েছে ।

লগ চেকের পিছনে মূল ধারণাটি হ'ল কোনও সিস্টেমে চলমান বিভিন্ন পরিষেবাগুলি ইতিমধ্যে অস্বাভাবিক ঘটনাগুলিতে লগ করে। যেমন sshd বা পাম ইতিমধ্যে প্রমাণীকরণ ব্যর্থতা লগ। সুতরাং প্রধান অনুপস্থিত উপাদানগুলি হ'ল:

  • সাধারণ কি ফিল্টারিং
  • সতর্ক সেবা

উভয়ই একটি সুবিধাজনক প্যাকেজে লগ চেক দ্বারা সরবরাহ করা হয় । আপনি অন্য কোনও লগিংয়ের সাথে লগচেক একত্রিত করতে পারেন । উদাহরণস্বরূপ iptables- র করতে কনফিগার করা যাবে syslog কোন নেটওয়ার্ক সংযোগ প্রচেষ্টা যে স্পষ্টভাবে নিয়ম যোগ করে মঞ্জুরিপ্রাপ্ত নয়:

 iptables -A input -j LOG
 iptables -A input -j DROP

সমস্ত অনুমতি বিধি পরে অবিলম্বে।

আমি খুঁজে logcheck চেয়ে অনেক বেশী সহায়ক হতে logwatch কারণ এটি নিয়ম খুব বড় সংখ্যা সঙ্গে প্রাক প্যাকেজ উপেক্ষা করার কি স্বাভাবিক কার্যকলাপ বিবেচিত হচ্ছে আসে (অন্যান্য উত্তর প্রস্তাবিত)। সতর্কতাগুলির ইমেলগুলিতে ফলাফলটি অনেক বেশি সংকেত / শব্দের অনুপাত। YMMV।

আরেকটি সুবিধা logcheck এটি হল লম্ব কোনো সেবা লগ, তাই ফাংশনের কোন অনুলিপি যে হয়। যখনই আপনি কোনও নতুন পরিষেবা যুক্ত করেন যা আপনার syslogঅধীনে যে কোনও ফাইলে ইভেন্ট লগ করতে অস্বাভাবিক বা না ব্যবহার করে, এর /var/logজন্য স্বয়ংক্রিয়ভাবে সতর্কতা পেতে শুরু করে।

কিভাবে:

যেহেতু logcheckইতিমধ্যে প্রাক-কনফিগার করা হয়েছে, এই উত্তরটির শীর্ষে দুটি লাইন আপনাকে আরম্ভ করার জন্য প্রয়োজনীয় সমস্তটি আবশ্যক। কেবল এটি ইনস্টল করুন, এবং শীর্ষস্থানীয় কনফিগারেশন ফাইলটিতে যান: /etc/logcheck/logcheck.confআপনার ইমেল ঠিকানাটি পরিবর্তন করতে যাতে logcheckইমেলগুলি আপনাকে সতর্ক করে ts

এখানে একটি বন্ধুত্বপূর্ণ তথ্যসূত্রটি আরও বিশদে দ্বিতীয় ধাপটি ছাড়ছে । যেহেতু উবুন্টু ডেবিয়ানের উপর ভিত্তি করে, উবুন্টুতেও এই নির্দেশাবলী কার্যকর করা উচিত। এখানে আরও একটি ভাল রেফারেন্স

একবার ইনস্টল করার পরে, অবিচ্ছিন্ন উন্নতি প্রক্রিয়া শুরু হয়। সময়ের সাথে সাথে, আপনি ইতিমধ্যে জেনে থাকা এবং বোধ করছেন এমন কোনও বিষয় উপেক্ষা করার জন্য আপনার বিধিগুলি পরিমার্জন করুন concern এই পরিশোধন প্রক্রিয়াটি আপনার প্রিয় পাঠ্য সম্পাদকের কোনও ফাইলে পাঠ্য লাইন যুক্ত করার মতোই সহজ।

উপেক্ষা করা ফাইলের প্রতিটি লাইন একটি বর্ধিত নিয়মিত অভিব্যক্তি (দেখুন man 7 regex), তবে আপনি এড়াতে চান এমন লগ লাইনের সাথে মেলে যতক্ষণ না আপনি সহজ স্ট্রিং ব্যবহার করতে পারেন। শুধু মনে রাখবেন যে অক্ষর পছন্দ *, ?, + ', [], ()একটি রেগুলার এক্সপ্রেশন বিশেষ, তাই যদি তারা আসলে লগ লাইনে উপস্থিত আপনি তাদের একটি ব্যাকস্ল্যাশ নিয়ে পালানোর হবে \ফাইল উপেক্ষা করা হবে।

অন্য কথায়: আপনি যদি কোনও সতর্কতা পান যা আপনি পেতে চান না, তবে আপনার ইমেল করা লগ লাইনটি দেখুন এবং এটির সাথে মেলে এমন একটি প্যাটার্ন যুক্ত করুন, যা আপনার পছন্দের যে কোনও উপেক্ষা করা ফাইলের এক লাইন হিসাবে। আমি /etc/logcheck/ignore.d.<yourloglevel>/my-ignoresআপনার ব্যক্তিগত উপেক্ষা ফাইল হিসাবে ব্যবহার করার পরামর্শ দিচ্ছি । কোথায় <yourloglevel>এক paranoid, serverঅথবা workstation(যদি ইতিমধ্যে প্রধান কনফিগ ফাইলে নির্বাচন করেছেন হিসাবে: /etc/logcheck/logcheck.conf)। প্রক্রিয়া-আইডি, বা টাইম স্ট্যাম্পের মতো সমস্ত সময় পরিবর্তিত পাঠ্যের জন্য কীভাবে অ্যাকাউন্ট করতে হয় তা দেখতে অন্যান্য উপেক্ষা করা ফাইলগুলির উদাহরণগুলিতে দেখুন। প্রচুর বিদ্যমান উদাহরণগুলি থেকে শিখতে হবে।

একটি শেষ টিপ: logcheckএকটি সামান্য দরকারী ইউটিলিটি সহ আসে logcheck-testযা নতুন নিয়মের পরীক্ষার জন্য খুব কার্যকর। man logcheck-testবিস্তারিত জানার জন্য.


হাই, আমি লগচেকের পিছনে ধারণাটি পছন্দ করি ... আপনি কি দয়া করে আমাকে এর জন্য গভীরতর গাইড নির্দেশ করতে পারেন? ধন্যবাদ :)
irenicus09

1
@ irenicus09: কেবলমাত্র রেফারেন্সের জন্য একটি linkচ্ছিক লিঙ্ক সহ বিভাগটি কীভাবে যুক্ত করা হয়েছে।
আরিফেল

অনুগ্রহ জিততে অভিনন্দন, খুব ভাল লেখা উত্তর মানুষ। ধন্যবাদ :)
irenicus09

3

আপনার নেটওয়ার্কটিতে যদি প্রচুর সিস্টেম না থাকে তবে স্নোর্টের মতো আইডিএস স্থাপন করা সম্ভবত অতিমাত্রায় ব্যয় হয় (বিশেষত যদি আপনার মেশিনে কোনও নেটওয়ার্ক পরিষেবাদি নেই)। আপনার সিস্টেমে কী চলছে তার একটি প্রতিবেদন পাঠানোর জন্য আমি লগওয়াচটি কনফিগার করে শুরু করার পরামর্শ দিই। আপনার এটি শেষ হয়ে গেলে, আপনার সিলেগটি কনফিগার করুন যাতে আপনি যথাসম্ভব প্রাসঙ্গিক তথ্য পান।


হ্যালো, আমি আপনার উত্তরটি পছন্দ করি ... তবে আপনি কীভাবে এটি করতে পারেন তার সম্পর্কে আরও কিছু বিশদ ভাগ করে নিতে পারেন। কনফিগারেশনের সাথে জবাবদিহি করা খুব জটিল হতে পারে, বিশেষত অনভিজ্ঞ ব্যবহারকারীদের জন্য। আপনি যদি এর জন্য গভীরতর গাইডের দিকে আমাকে নির্দেশ করতে পারেন তবে আমি প্রশংসা করব। ধন্যবাদ।
irenicus09

@ irenicus09 আমি মনে করি এটি যথেষ্ট হওয়া উচিত: উবুন্টু-ভিত্তিক সিস্টেমে লগওয়াচ কীভাবে সেটআপ করা যায়
AndrewX192

গাইডটির জন্য ধন্যবাদ, আমি সফলভাবে লগওয়াচ সেটআপ করেছি এবং এটি আমার পছন্দ হয়েছে। পোর্ট স্ক্যান মনিটরের জন্য আমি পোর্ট্রেসনেট্রিও সেটআপ করেছি এবং আমার জন্য সবচেয়ে ভাল কোনটি চূড়ান্ত করার আগে আমি অন্যান্য সরঞ্জাম ও সামগ্রী চেষ্টা করব :)
irenicus09

1

আপনি যখন আপনার নেটওয়ার্কে পরিষেবা (ftp, ওয়েব, এনএফএস, এসএসএস) চালাবেন তা নিশ্চিতভাবে অনুপ্রবেশ সনাক্তকরণের প্রয়োজন এটি ইন্টারনেটে প্রকাশিত হওয়ার কারণে এবং এর কারণে:

  • মিস-কনফিগারেশন
  • সফ্টওয়্যার দুর্বলতা

তাদের অভিজ্ঞ নেটওয়ার্ক প্রশাসক দ্বারা দৈনিক নিরীক্ষণ প্রয়োজন। আপনি যদি এই পরিষেবাগুলি চালনা করেন তবে কীভাবে এই সমস্যাগুলি এড়ানো যায় আপনার সম্ভবত নূন্যতম জ্ঞান থাকতে হবে।

আপনি যদি এই পরিষেবাগুলির কোনওটি না চালনা করেন তবে আপনার ইন্টারনেট রাউটার ফায়ারওয়াল ইতিমধ্যে পোর্টগুলিতে যে কোনও আগমন সংযোগটিকে অবরুদ্ধ করেছে। আপনার নেটওয়ার্ক রাউটার স্ক্যান করতে

  • কেবল https://www.grc.com/x/ne.dll?bh0bkyd2 দেখুন
  • "এগিয়ে" ক্লিক করুন
  • যে কোনও উন্মুক্ত পোর্টের জন্য চেক করতে "সমস্ত বন্দর" নির্বাচন করুন

আপনি যদি সবুজ হন তবে আপনারা সবাই ভাল আছেন।

সর্বশেষে তবে কম নয়, সম্ভবত আপনার রাউটারটিতে অন্তর্নিহিত সনাক্তকরণ সিস্টেমটি অন্তর্নিহিত রয়েছে (কারণ সমস্ত রাউটারগুলির 99% স্ট্রিপ ডাউন ডাউন লিনাক্স সার্ভার চালায়)। এর জন্য, আপনাকে অবশ্যই আপনার রাউটার প্রস্তুতকারকের ম্যানুয়াল পরীক্ষা করতে হবে।


হ্যালো, আপনার উত্তরের জন্য ধন্যবাদ। এটি বেশ অন্তর্দৃষ্টিযুক্ত এবং আপনি যে বিষয়ে কথা বলছেন তা সম্পর্কে আমি অবগত। তবে আমার বক্তব্যটি ধরা যাক আমি আমার সিস্টেমে বিভিন্ন পরিষেবা চালাচ্ছি, আমি কীভাবে সুরক্ষা দৃষ্টিকোণ থেকে ক্রিয়াকলাপগুলি ট্র্যাক করি। আমি একজন সাধারণ ব্যবহারকারী হিসাবে ঘরোয়া ব্যবহারকারী হিসাবে সহজ সমাধান প্রয়োজন এবং আমার মনে হয় আপনি সেই অংশটি এড়িয়ে
গেছেন
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.