Caricamento...
Attendere, prego.

Menu

+39 045 5116665

[email protected]

Intrusion detection semplice semplice con Psad su Centos 7

HomeNotizieIntrusion detection semplice semplice con Psad su Centos 7
HomeNotizieIntrusion detection semplice semplice con Psad su Centos 7
Intrusion detection semplice semplice con Psad su Centos 7

Intrusion detection semplice semplice con Psad su Centos 7

Intrusion Detection e Log Analisys su Centos 7 con Psad

Psad è una collezione di tre leggeri demoni di sistema (due demoni principali e un demone helper) che girano su macchine Linux che analizza i messaggi di log di iptables per rilevare scansioni delle porte e altro traffico sospetto. Una tipico impiego è quello di eseguire Psad sul nodo dove c'è l'accesso più veloce possibile ai log di Ipables. Ovviamente è anche molto conveniente metterlo in esecuzione sui server esposti sulla rete pubblica per monitorare le possibili minacce provenienti da provetti hacker o hacker conclamati.

Purtroppo Centos 7 non mette a disposiszione un pacchetto direttamente installabile con YUM, ma vale la pena perdere qualche minuto in più perche Psad è veramente molto utile (consiglio di affiancarlo anche a Fail2ban)

 

Qui di seguito vi elenco alcuni semplici comandi da dare dalla console di terminale come root per poterlo installare. Psad ha bisogno di alcuni pre-requisiti, cioà di alcuni pacchettu da cui dipende.

Installiamoli per primi

yum install perl-IPTables-ChainMgr perl-Date-Calc perl-Unix-Syslog whois mailx

yum install cpan

Tramite cpan installiamo altre due dipendenze di perl (le opzioni di default dovrebbero andare bene)
cpan IPTables::Parse
cpan IPTables::ChainMgr

Veniamo finalmente all'installazione vera e proprio di Psad (l'ultima versione al momento è la 2.4.2)

rpm -Uvh http://www.cipherdyne.org/psad/download/psad-2.4.2-1.x86_64.rpm

Se l'installazione è avvenuta correttamente procediamo con il primo semplice settaggio,

cambiare l'email del destinatario a cui mandare le notifiche.

E' possibile farlo modificando il parametro EMAIL_ADDRESSES in psad.conf

Quindi

vi /etc/psad/psad.conf

Alla fine possiamo lanciare il programma come daemon con

service psad start

e attivarlo in partenza automatica del sistema con

chkconfig psad on

 Ora potrete ricevere notifiche circa le attività sospette di cui il vostro server è bersaglio.

 

Stonebit - software house verona - consulenze informatiche e sicurezza di rete

 

sicurezza linux psad


14 01, 16
Essential SSL