LUbuntu 18.04にpostgresqlサーバー、mysqlサーバー、vinoサーバーなどのいくつかのサーバーをインストールしましたが、私は知らないうちにいくつかのサーバーをインストールして実行している可能性があります。私は他のコンピュータからアクセスする計画がほとんどなく、慣れるまでサーバーを安全に構成するための何もしなかったため、セキュリティ上の問題が心配されます。
私のLUbuntuのポートが自分のローカルWi-Fi内またはインターネット上の他のコンピュータによってスキャンまたは接続されているかどうかを監視、記録、および確認する方法)ネットワークから)?
たとえば、しばらく前に私のvinoサーバーは、stdoutにインターネットの奇妙なIPが私のローカルWi-Fiをハックして接続しているというメッセージを書きました。それ以来、実行を中止しましたが、まだ問題を解決する時間やアイデアはありません。 https://askubuntu.com/questions/1067305/is-my-vino-server-being-attacked Lubuntuで実行されている他のサーバーでも同じ問題があります。だから私は一時的に問題を検出するためにそれらとの接続をチェックして監視したいと思います(知識とスキルを得るまで問題を解決しようとしません)。
ベストアンサー1
ネットワーク/システム管理者の観点から、あなたが尋ねる質問は一般的により広範なトピックであり、あなたの要件、規模、およびセキュリティ戦略によって異なります。
ネットワーク内の侵入者を検出するためのログジェネレータソリューションには、次のものがあります。
- アプリケーション固有のログ
- デバイス固有のログ(ファイアウォール、ルーターなど)
- 認証ログ
- DHCP/DNS ログ
- iptablesログ
- 侵入検知ソリューション(IDS)
- ハニーコンプレックス
- ネットワークストリーミングソリューション
これらのログを収集する場合は、通常次のことができます。
- セントラルsyslogサーバー。
- ネットワークフローコレクタ
- IPセキュリティブラックリストなどの外部イベントとログを関連付けるソリューションです。
ただし、お客様の問題の説明によれば、ファイアウォール/インターネットから内部ネットワークを効果的に分離することがより心配です。
セキュリティ/ハッキングシステム世界の具体的で興味深いツールのヒントについては、以下をご覧ください。
PSADはどのように攻撃を検出しますか?
ポートスキャン検出は、回線のパケットをスニッフィングすることによって実行できます。これは、多くの侵入検知システムで使用されるアプローチです。この場合、PSADは単にシステムログを読み取ります。 Syslog メッセージは IPTables ファイアウォールのロギングによって生成されます。 PSAD スクリプトはログを解析して関連情報を検索し、簡単なレポートを生成します。
情報セキュリティ世界で最も一般的な侵入検知システム(IDS)はSnortです。すでに知っていますが、IDSはデスクトップのウイルス対策(AV)ソフトウェアと同様に機能します。ネットワーク上のマルウェアを特定し、その存在を警告します。
Ubuntu LinuxでOSSECをインストールして構成する方法
OSSECは、サーバーの活動を追跡するために使用できるオープンソースのホストベースの侵入検知システムです。 Linux、FreeBSD、OpenBSD、Windows、Solarisなどのほとんどのオペレーティングシステムをサポートしています。サーバー/エージェントモードで1つ以上のサーバーを監視するために使用され、サーバーで何が起こっているのかをリアルタイムで確認できます。 OSSECには、中央の場所で複数のシステムを監視できるクロスプラットフォームアーキテクチャがあります。
Suricataは無料のオープンソースで、成熟した、高速で強力なネットワーク脅威検出エンジンです。
Suricataエンジンは、リアルタイム侵入検知(IDS)、インライン侵入防止(IPS)、ネットワークセキュリティ監視(NSM)、およびオフラインPCAP処理を可能にします。
Suricataは、強力で広範なルールと署名言語を使用してネットワークトラフィックを検査し、強力なLuaスクリプトサポートを使用して洗練された脅威を検出します。
SIEM、Splunk、Logstash/Elasticsearch、Kibana、その他のデータベースなどの既存のツールとの統合は、YAMLやJSONなどの標準入力および出力形式で簡単に行えます。
また、見ることができますハニーネットプロジェクト
PS 私たちの家の内部ネットワークは外部ファイアウォールの影響を受けず、内部サービス(SSH/ウェブサイト/VoIP/VM/温度センサー)に接続/使用する唯一の方法はIPsec VPNを介してです。
私はできるだけWebサーバーやSSHサービスをインターネットに公開しません。
VNCベースのソリューションも本質的に安全ではないため、インターネットにさらされるべきではありません。
psadは小規模ネットワーク(おそらくsuricata)に興味深いでしょう。独自のDNSサービスを実行し、ログを見てください。