Fail2ban és Munin telepítése és konfigurálása

" />
Debian Etch 4.0 szerver telepítése 3.rész
Debian Etch 4.0 szerver telepítése 3.rész
Rovat: Linux | Dátum: 2008-05-04 21:57:05 | Írta: Barta Tibor

Fail2ban és Munin telepítése és konfigurálása


Az előző cikkek ismeretanyagával felépített szerverparkunkat próbáljuk most majd megvédeni a kéretlen behatolókkal szemben és készítünk némi grafikonokat is, hogy tudjuk, hogy mennyi erőforrás tartalékuk van még.

 

A támadók legelőször a cél gépek portjait szkennelik végig és ha találnak nyitottat akkor ott bepróbálnak jutni.

A legtöbb esetben a 22 SSH és 21 FTP portokon próbálkoznak.

A legelterjedtebb módszer a szótáras támadás, azaz van egy olyan adatbázisuk, amik neveket és egyéb szavakat tartalmaz, és ezek párosításával próbálkoznak.

Egyes esetekben közvetlenül az ismert pl.: root felhasználót próbálják feltörni generált jelszavakkal, ami a betűk, és számok összes variációját előállítja. Ez másodpercenként akár több 100 vagy 1000 próbálkozást is jelenthet.

Ha a jelszavunk elég hosszú és bonyolult, még akkor is érdemes némi lépéseket tenni, mert ez terheli a szerverünket is és még véletlenül se sikerüljön feltörniük!

 

A megoldás a Fail2Ban! Ez a program figyeli a bejövő hibás próbálkozásokat és a limit elérése után a tűzfallal teljesen eldobatja a bejövő kapcsolatot a támadó IP címről.

Tapasztalataim szerint egy támadó akár 1-3 órán keresztül is képes próbálkozni, de ha ezzel a programmal pl 10-15 percre kitiltjuk az IP címét akkor gyorsan felhagy a próbálkozással.

 

Telepítés:

apt-get install fail2ban

 

Szerkesztjük ezt a fájlt: /etc/fail2ban/jail.local

Nem idézem feleslegesen az egész fájlt mivel elég egyszerű a felépítése.

 

[ssh]

enabled = true

port    = ssh

filter  = sshd

logpath  = /var/log/auth.log

maxretry = 5

 

Azon szolgáltatásokat amelyeket védeni szeretnénk, azoknál be kell kapcsolni a figyelést ?enabled = true?.

A ?maxretry = 5? lehet a hibás kísérletek számát növelni vagy csökkenteni!

 

A beállítások után:

/etc/init.d/fail2ban restart

 

A védelmi rendszerünk működéséről készült napló itt található:

/var/log/fail2ban.log

 

Aktuális tűzfal beállítások közt megtalálhatjuk a fail2ban által kitiltottakat:

iptables -L

 

Figyelem! A védelem beállítása után lehetőleg az ssh belépéskor megfontoltan írjuk be jelszavunkat, mert megeshet, hogy önmagunkat is kizárjuk a saját szerverünkről!

Most pedig a szerverparkunk monitorozását fogjuk megoldani.

Nagyon sok lehetőségünk van és egyik bonyolultabb, mint a másik. A legismertebb az MRTG, ez ismereteim szerint csak 1 gépről tud grafikont készíteni, de nem hinném, hogy ez a legalkalmasabb eszköz, ha számítástechnikai boltban lennénk, akkor azt mondanám, hogy nem optimális az ár / érték aránya, itt inkább ez a helytálló: nagyon sok meló / kevés haszon.

Az internet szolgáltatók által nagyon kedvelt a Nagios rendszert már volt alkalmam egy nagyobb wireless szolgáltatónál szemügyre venni. Használni még nem használtam, mert igazából csak nagy mennyiségű eszköz esetén hasznos és igazából főként az eszközök online állapotát ellenőrzi, igazából grafikont nem nagyon készít, de nem szabad elfelejteni a nevét még később lehet hasznos lesz.

A nemrég találkoztam a Cacti-val. Csak annyit mondok róla, hogy a Nagios által kezelt rendszerekhez való. Iszonyat sok mindent tud és még annál is több eszközt kezel a feltétel csak annyi, hogy snmp legyen az adott eszközön. Egy szerveren be is üzemeltem és nagyon szépen működött is, de már a több eszközös dologgal meggyűlt a bajom. Na de ezt nem is részletezem, inkább a lényegre térek.

A Munin lesz a mi emberünk. Gyors, viszonylag sokat tud, ahhoz képest, hogy fapados a beállítása ahhoz képest nagyon egyszerű. Szerintem vágjunk is bele.

 

A központi szerverünkre, ez fogja a grafikonokat készíteni:

apt-get install munin munin-node

 

Szerkesztük ezt a fájlt: /etc/munin/munin.conf

dbdir   /var/lib/munin

htmldir /var/www/munin

logdir  /var/log/munin

rundir  /var/run/munin

 

tmpldir /etc/munin/templates

 

[www.szerverunk.hu]

    address 127.0.0.1

    use_node_name yes

 

Kiadjuk a következőparancsokat:

mkdir -p /var/www/munin

chown munin:munin /var/www/munin

/etc/init.d/munin-node restart

 

Aztán megnézzük a böngészőnken az eredményt:

http://www.szerverunk.hu/munin

 

A kliens szervereink telepítése:

apt-get install munin-node

 

A következő fájlt szerkesztjük, hozzáférünk: /etc/munin/munin-node.conf

allow ^192\.168\.0\.100$

 

Kiadjuk a következő parancsot:

/etc/init.d/munin-node restart

 

A központi szerverünkön szerkesztjük ezt a fájlt: /etc/munin/munin.conf

[szerver2.szerverunk.hu]

    address 192.168.0.2

    use_node_name yes

 

Természetesen a megfelelpő IP címeket és domain neveket behelyettesítve!

Ezután újraindítjuk a munint:

/etc/init.d/munin-node restart

 

A Munin tudja az alkatrész hőmérsékleteket is és a feszültség szinteket is figyelni, de ezt csak abban az esetben, ha operációs rendszerünk kerneljébe beforgattuk a megfelelő modulokat, de erről majd legközelebb.

 

 

Ezen cikkben leírtakat alkalmazva elég sok meglepetést kerülhetünk el vagy kellemetlen pillanatot úszhatunk meg.

Természetesen a védelmünk soha nem lehet elég jó, mindig figyeljük a szerverünket és az azon készült napló fájlokat és az egyéb gyanúsnak tűnő jeleket, de ha legalább ennyit megteszünk, akkor a betörők egy bizonyos részét biztos kinn tudjuk a szerverünkről.

A szervereink muninnal való monitorozása is sokat segíthet nekünk. Sok esetben olyankor van kritikus terhelés alatt a szerverünk, amikor nem is figyeljük és pl egy hónap múlva csak csodálkozunk, hogy tönkrement a merevlemezünk vagy leégett a processzorunk vagy bármi más történt.

 

A következő cikkemben előreláthatólag a kernel forgatásról fogok írni.





2007 - 2017 © Minden jog fenntartva!
OLVASTAD MÁR?


Mostanság egyre több telefont termel magából ki a kínai piac, ami lehet saját szerzemény vagy egy kategóriának a koppintása. Lássuk a prémium kategóriás UMI Zero-t.