Как я могу обнаружить нападения / датчики / сканирования портов на моем сервере?
В моем старом задании я также когда-то думал, как Вы делаете. Наш старый директор, оставленный присоединиться к семейному бизнесу и нашему новому, определенно как не рекламировался. Мы были 3 полными рабочими днями, 2 отделами ИТ сотрудника с частичной занятостью приблизительно с 25 серверами и 250 рабочими станциями для поддержки.
Сначала я тер о ситуации. Я жаловался своему другому полностью занятому коллеге, с которым я был друзьями в течение достаточно долгого времени. Мы говорили о том, что сделать, чтобы убедить наших окончательных начальников, что этот человек был неправильным выбором. Затем мы наконец поняли что-то: у нас было больше технической свободы чем когда-либо.
Мы воспользовались этой возможностью для продвижения инициативы, что мы долго говорили о реализации, но никогда, прежде чем имеется влияние для создания происходит. Поскольку мы были так технически ценны к нашему новому, но под-квалифицированным босс, он был очень готов слушать наши идеи и защитить наши причины. В свою очередь мы помогли ему увеличить свой набор навыков существенно, и к тому времени, когда я оставил то задание для перемещения по пересеченной местности для завершения к семейству, он превратился в одного из лучших менеджеров, которых я когда-либо имел.
Я или попытался бы "взять лимоны и сделать лимонад", как мы сделали или рассматриваем другое положение для себя. Если он будет действительно так плох, как Вы говорите, то это будет выставлено естественно. Иначе Вы будете нарисованы как истец, и Вы поможете получить другого человека, уволенного, кого, как Вы, пытается сделать им в течение этого трудного времени.
Нижняя строка: дайте парню больше чем два месяца, быть командным игроком и найти способы сделать эту ситуацию выгодной для всех включенный, включая Вашего нового босса. Если бы они хотели Ваше одобрение, Вы были бы частью процесса найма.
В дополнение к Fail2Ban смотрят на DenyHosts. Они работают немного по-другому, таким образом, можно было бы подойти лучше к Вашей среде, чем другой. Двумя самыми легкими контрольными инструментами журнала веса, которые я использовал, был LogWatch и logsentry.
LogWatch является довольно стандартным инструментом в эти дни. Это обычно работает ночью, синтаксические анализы через набор журналов и пошлет хорошее сообщение по электронной почте о ежедневном действии. Вещи как пользовательские логины, sudo команды, использование диска, а также обычно странные сообщения журнала. По моему опыту, этот инструмент почти никогда не настраивается, и конфигурация по умолчанию обеспечивает достаточно хорошие результаты.
Logsentry (раньше logcheck) работает более часто, обычно каждый час, и является строго синтаксическим анализатором сообщения журнала. Это содержит белый список нормальных сообщений и предполагает, что что-либо еще плохо. Те плохие сообщения затем компилируются вместе и послали по электронной почте. Этот инструмент может потребовать довольно мало настройки. Необходимо удостовериться, что это оба монитора, все файлы журнала, которые Вы хотите, а также проверка его, знают то, что нормально в Вашей среде.
Оба - хорошие инструменты, и достаточно отличающийся, что выполнение обоих не обязательно избыточно. В прошлом я использовал LogWatch, чтобы давать мне хорошую сводку состояния системы каждый день с logsentry, сообщающим мне, когда что-то необычное произошло.
Фырканье является легкой сетевой системой обнаружения проникновения. Это контролирует сетевой трафик и анализирует его против набора правила, определенного пользователем.
Fail2ban сканирует файлы журнала. Это поддерживает SSH, HTTP, VoIP, MTA и пользовательские правила определения.
Я выполняю Shorewall как брандмауэр с политикой отбрасывания журнала. Я использую синтаксический анализатор журнала dshield, чтобы сообщить о датчиках порта dshield.org и скопировать меня с файлом журнала. logcheck инструмент также сканирует мои журналы раз в час, и сообщите о любых интересных данных.
Я нахожу, что сканирования портов не сделаны это часто теперь. Может случиться так, что использование инструментов как fail2ban делает сканирования портов не настолько привлекательными больше.