Что бы избежать заполнения диска старыми логами — необходимо настроить утилиту logrotate. Основной файл конфигурации — /etc/logrotate.conf. Для создания настроек отдельных логов — используем директорию /etc/logrotate.d, которая описана как: # RPM packages drop log rotation information into this directory include /etc/logrotate.d Добавим наблюдение за логом /var/log/iptables.log.
Задача утилиты Fail2ban — мониторинг файлов (таких как /var/log/secure) и поиск в них следов bruteforce и других попыток некорректной авторизации. Так же, проверяет сервисы SSH, Dovecot, Nginx и другие. При обнаружении таковых — доступ с IP блокируется на фаерволе сервера. Установка выполняется на CentOS 6.6. Устанавливаем: # yum install fail2ban
AIDE (Advanced Intrusion Detection Enviornment) — система предотвращения взлома системы. Домашняя страница проекта — тут>>>. Суть системы — она создаёт свою базу данных директорий и файлов, и периодически отслеживает изменения в них. Устанавливаем: # yum -y install aide Проверяем: # aide -v Aide 0.14
PSAD — утилита для определения попыток сканирования открытых портов, при обнаружении таковых — отправляет оповещение на почту и может заблокировать атакующий хост. Для определения сканирования — использует указанную в конфигурации службу логирования, в данном случае — rsyslog. Устанавливаем: # yum -y install psad Редактируем /etc/rsyslog.conf. Добавляем строку: # for PSAD kern.info | /var/lib/psad/psadfifo IPTABLES генерирует очень… Читать далее »
Основная задача любого мониторинга — это отправка уведомлений при возникновении проблем. Настроим отправку письма, при различных событиях. Редактируем файл /etc/nagios/objects/contacts.cfg. Нам требуется создать уведомления только для одного пользователя, поэтому редактируем запись:
Помимо обычной почты, Nagios отправляет сообщение на адрес мобильного оператора, который его должен передать в виде SMS. Проблема в том, что при отправке такого письма — в логе Postfix были сообщения: Dec 1 15:49:27 akira postfix/smtp[4835]: E9CD715FA13: to=<3809***26@sms.***.net>, relay=smsrelay.***.net[81.***.***.6]:25, delay=1.2, delays=0.11/0.06/0.83/0.16, dsn=4.0.0, status=deferred (host smsr elay.***.net[81.***.***.6] said: 451 Could not complete sender verify callout (in… Читать далее »
По умолчанию Nagios проверяет домен SSH на порту 22. Но — его часто меняют, и требуется изменить настройки мониторинга для этой службы. Проверка SSH выполняется командой check_ssh в файле с описанием хоста, в данном случае это /etc/nagios/objects/localhost.cfg: define service{ use local-service ; Name of service template to use host_name localhost service_description SSH check_command check_ssh notifications_enabled 1… Читать далее »
Для мониторинга MySQL имеется несколько плагинов, но мы обойдёмся штатными утилитами Nagios Core. Проверяем наличие файла плагина: # find / -name «check_mysql» -type f /usr/lib64/nagios/plugins/check_mysql На сервере с установленным MySQL, который будем мониторить, создаём пользователя, с доступом только с хоста мониторинга: MariaDB [vexim]> create user ‘nagios’@’77.***.***.40’ identified by ‘p@ssw0rd’; Query OK, 0 rows affected (0.33 sec)
Создаём каталог, в котором будем хранить конфигурационные файлы хостов: # mkdir /etc/nagios/servers Редактируем файл /etc/nagios/nagios.cfg и добавляем строку: cfg_dir=/etc/nagios/servers
Подключаем репозитории Remi и Epel. Проверяем наличие пакета: # yum list nagios … nagios.x86_64 3.5.1-1.el6 epel # yum search nagios-plugins-all … nagios-plugins-all.x86_64 : Nagios Plugins — All plugins