Bonjour à tous,
J'essaie de me prémunir contre toute prise en main d'une de mes machines serveurs.
J'utilise déjà logwatch qui publie un compte rendu journalier de ce qui c'est passé le jour précédent.
Ca donne des infos sur ce qu'il a pu se passer les jours précédents.
Je ne consulte pas tous les jours les résultats de logwatch.
Maintenant, comment être alerté sur une prise en main non désiré le plus vite possible ?
Surtout, quel type de log est à analyser et quelles chaines de caractère ?
Mes machines sont faite pour de l'auto-hébergement, pas de grosse structure.
L'OS que j'utilise est debian.
Merci pour vos conseils.
# IDS
Posté par Fabien . Évalué à 5 (+4/-0).
Peut être regarder du côté des IDS (intrusion detection system) genre Snort voir Prelude-ids
# Mettre les logs à l'abri
Posté par cg . Évalué à 7 (+5/-0).
En complément d'un HIDS (Snort, OSSec, Wazuh), un truc important est de déporter les logs, par exemple avec syslog ou journald, tu peux envoyer les logs à une autre machine.
Car l'effacement des traces fait partie des phases d'attaque classiques, par exemple par la destruction des logs. Si les logs sont sur une autre machine, ils seront peut-être épargnés.
Des programmes comme fail2ban ont des règles en place pour beaucoup de services (ssh, proftpd, roundcube, postfix…), aussi. Ça peut te permettre de détecter et bloquer les attaques par force brute assez simplement. Il est relativement facile d'écrire de nouvelles règles fail2ban en s'inspirant de l'existant.
Envoyer un commentaire
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.