Clark's Home page

Tecnicismi vari di un Sysadmin Linux ma anche qualcosa della sua vita

Archive for the ‘IDS’ Category

Bastion host versione 2022 —

Riprendo dopo un bel po di anni questo discorso che attualmente è diventato ancora più fondamentale. Il concetto fondamentale resta lo stesso: Un Bastion host è normalmente nelle realtà aziendali la macchina di collegamento tra la/le LAN e Internet. Quindi questa macchina deve essere il più possibile (per quanto questo significhi un qualcosa) sicura e […]

Rkhunter su Devuan 4 —

Rkhunter di cui ho già scritto in precedenza significa letteralmente cacciatore di root kit. Un root kit è un insieme di programmi installati dai cracker quando riescono a penetrare in un sistema, un root kit può essere installato anche da virus. Questi programmi hanno lo scopo di inviare informazioni dal sistema infetto alle macchine del […]

Il mio stack ELK —

Visto il momento attuale in cui la cyber criminalità la sta facendo da padrona, oltre al “pararsi le terga” in ogni modo possibile ed immaginabile una grossa fetta di lavoro è anche spazzolarsi i log di sistema macchina per macchina per vedere se c’è un qualcosa che non convince, ed è un lavoraccio immane. Guardando […]

Tiger —

Tiger è un tool per il controllo dell’integrità dei files, entra di buon diritto nella categoria IDS per la parte di audit. L’installazione è la solita con apt, non necessita di particolari configurazioni, bisogna però editare  /usr/lib/tiger/systems/default/config e alla riga 127 correggere in export e in MAILER (non ricordo gli anni che c’è questo problema […]

Fail2ban su Devuan Beowulf riveduto e corretto —

Visto che su backports di beowulf e’ arrivato nftables 0.9.6 cambiano un po di cose rispetto a qui Fail2ban su Devuan Beowulf e non e’ piu’ necessario copiarsi i files dal repository ufficiale, quindi clono pari pari la vecchia pagina e tolgo quel che non serve lasciando la vecchia soluzione come storico. Fail2ban come noto […]

Portsentry su Devuan Beofulf —

Già in passato avevo parlato qui di portsentry, e nel corso degli anni mi sono reso conto di quanto sia utile e quindi non ne voglio più fare a meno, la questione è che però con nftables la cosa cambia un po quindi mi son dovuto adeguare e cercare una soluzione dato che sicuramente qualcuno […]

Fail2ban su Devuan Beowulf —

Fail2ban come noto è un programma pensato per prevenire gli attacchi brute force. Scansiona i file di log e blocca quegli indirizzi che hanno troppi fallimenti di password, è scritto in Python e a mio avviso ricade nella categoria IDS/IPS. Questo articoletto sostituisce tutti i precedenti, per due ragioni principali: a) il framework di packet […]

Suricata su Devuan Beowulf —

Avendo in questo periodo adottato Beowulf come distro di riferimento ed essendo in fase di migrazione sui bastion host anche il buon suricata deve essere aggironato e in 2 anni sono cambiate un po di cosette. Fondamentalmente il concetto è lo stesso della versione precedente, si passa il traffico in entrata a suricata che lo […]

Tripwire —

Tripwire è un IDS o meglio un HIDS (host-based intrusion detection system) che sostanzialmente raccoglie in suo DataBase i dettagli su filesystem e configurazione  dell’host su cui è installato per fare riferimento e convalidare lo stato corrente del sistema. Se vengono trovate modifiche tra lo stato noto e lo stato corrente, potrebbe essere un segno […]

Suricata —

In questo periodo sto aggiornando i bastion host aziendali perché girano ancora su Debian 7.x e non vedo più aggiornamenti di sicurezza. L’occasione è buona per passare anche loro a Devuan, gli IDS/IPS sono una parte fondamentale della sicurezza del sistema, io ho sempre usato SNORT come IDS ma su Devuan Jessie non è presente, […]

Hide picture