Forum Linux.debian/ubuntu Cyber attaque : des outils de surveillance ?

Posté par  . Licence CC By‑SA.
Étiquettes :
5
1
avr.
2025

Bonjour à tous,

J'essaie de me prémunir contre toute prise en main d'une de mes machines serveurs.

J'utilise déjà logwatch qui publie un compte rendu journalier de ce qui c'est passé le jour précédent.
Ca donne des infos sur ce qu'il a pu se passer les jours précédents.

Je ne consulte pas tous les jours les résultats de logwatch.

Maintenant, comment être alerté sur une prise en main non désiré le plus vite possible ?
Surtout, quel type de log est à analyser et quelles chaines de caractère ?

Mes machines sont faite pour de l'auto-hébergement, pas de grosse structure.

L'OS que j'utilise est debian.

Merci pour vos conseils.

  • # IDS

    Posté par  . Évalué à 3 (+2/-0).

    Peut être regarder du côté des IDS (intrusion detection system) genre Snort voir Prelude-ids

  • # Mettre les logs à l'abri

    Posté par  . Évalué à 5 (+3/-0).

    En complément d'un HIDS (Snort, OSSec, Wazuh), un truc important est de déporter les logs, par exemple avec syslog ou journald, tu peux envoyer les logs à une autre machine.

    Car l'effacement des traces fait partie des phases d'attaque classiques, par exemple par la destruction des logs. Si les logs sont sur une autre machine, ils seront peut-être épargnés.

    Des programmes comme fail2ban ont des règles en place pour beaucoup de services (ssh, proftpd, roundcube, postfix…), aussi. Ça peut te permettre de détecter et bloquer les attaques par force brute assez simplement. Il est relativement facile d'écrire de nouvelles règles fail2ban en s'inspirant de l'existant.

Envoyer un commentaire

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.