Tecnicismi vari di un Sysadmin Linux ma anche qualcosa della sua vita
%YAML 1.1 — # Suricata configuration file. In addition to the comments describing all # options in this file, full documentation can be found at: # https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml ## ## Step 1: inform Suricata about your network ## vars: # more specifc is better for alert accuracy and performance address-groups: #HOME_NET: “[192.168.0.0/16,10.0.0.0/8,172.16.0.0/12]” HOME_NET: “[192.168.2.0/24]” #HOME_NET: “[10.0.0.0/8]” […]
Questo e il file di configurazione di samhain nella nuova versione e fa riferimento a questo vecchio articolo ##################################################################### # # Configuration file template for samhain. # ##################################################################### # # — empty lines and lines starting with ‘#’, ‘;’ or ‘//’ are ignored # — boolean options can be Yes/No or True/False or 1/0 # […]
Nell’ottica di hardenizzare i bastion host (e di conseguenza rendere un po più sicura la LAN) una parte importante la giocano gli IDS. Samhain è un software che appartiene a questa categoria, per la precisione è un software che si occupa di controllare l’integrità dei files e di loggare eventuali differenze. In buona sostanza samhain […]
Un Bastion host è normalmente nelle realtà aziendali la macchina di collegamento tra la/le LAN e Internet. Nelle piccole/medie aziende normalmente il Bastion host è un Computer che offre diversi servizi, tipicamente servizi di proxy di firewalling di IDS, se è vero che raggruppando i servizi su un unica macchina macchina si riducono i costi […]
Rifacendomi a questo articolo e vedendo che la faccenda continua e si è spostata sulla porta superiore e quindi vogliono proprio sfondarmi ho deciso di passare al più presto possibile all’autenticazione ssh con certificati, una “breve” burocrazia e al più presto possibile lo farò. Per il momento però ho deciso di rendere ancora più difficile […]
Durante un controllo di routine su una macchina che è su internet ho trovato un auth.log da 689 MB cosa che mi ha subito messo in allarme ovviamente, analizzando il log ho trovato una quantità esagerata di righe di questo tipo Jun 18 11:00:57 aliseo sshd[5657]: Failed password for root from 95.58.255.xxx port 38980 ssh2 […]
aide (Advanced Intrusion Detection Environment) è un software che controlla l’integrità di files e directory. Su una macchina di difesa perimetrale è importante avere la situazione il più monitorata possibile una possibile intrusione potrebbe lasciare tracce ad esempio la modifica di files e/o directory aide si crea un database ad un dato momento e quindi […]