Linux_p #10

---

           침입감지 시스템(IDS), 침입예방 시스템(IPS)과 네트워크 모니터링

 

$ snort

----BT

ifconfig eth0 promisc

 

->모든 rules 파일

 

 

->homenet 지정

 

->ssh.rules 정책 추가

 

$ cat -n /etc/snort/rules/icmp.rules

->외부네트워크상에 icmp내부 네트워크에 어느 호스트에게라도 접근하면 alert를 보내게 되어있다. msg 와 sid(필수)만 있어도 된다.

any any - 어느 네트워크에 누구든지

 

->경고 tcp프로토콜로 내부든 외부든 누구든지 어느 네트워크에서 어느 호스트가

 

->위와 같이 icmp, port scan 에서도 경고 print

 

->restart

 

->실행하고

 

->ssh 우분투 로그인

 

->BT에서 확인가능

 

 

->fail2ban 설치

 

->fail2ban 설정 파일

 

->loglevel = WARNIG 으로 변경(

 

/etc/fail2ban/jail.conf

 

 

 

 

 

->저 주소는 로그인에 3번 실패해도 JAIL에 갇히지 않는다.

 

->앞으로 SSHD에 대한 규제가 들어가있다

 

->아직은 없다.

 

->BT에서 3번 틀렸다.

 

->3번 실패했고 141(BT)은 ban

 

 

---

$ DenyHosts

wget http://sourceforge.net/projects/denyhosts/files/denyhosts/2.6/DenyHosts-2.6.tar.gz --no-check-certificate

 

# nano -c denyhosts.cfg

->서비스 block 라인

 

 

 

 

 

 

네트워크 실행

 

 

->실행

 

->확인

 

->앞에ALL가 서비스 뒤에ALL가 호스트(allow에서 허용한 것들 이외에는 모두 거부)

 

->우분투, 로컬호스트는 허용(허용한 주소만 가능)

 

 

->58줄 (2주)

 

->오류 뜨면 파일 지워주고 재실행

 

->실행

 

# cat /var/log/denyhosts

->맨 밑줄 확인

 

 

->533줄 주석 제거

 

->재실행 후 확인 (이게 fm)

 

# tail -f /var/log/secure

->우분투 접속, BT는 못함