Что бы избежать заполнения диска старыми логами — необходимо настроить утилиту logrotate. Основной файл конфигурации — /etc/logrotate.conf. Для создания настроек отдельных логов — используем директорию /etc/logrotate.d, которая описана как: # RPM packages drop log rotation information into this directory include /etc/logrotate.d Добавим наблюдение за логом /var/log/iptables.log.
Задача утилиты Fail2ban — мониторинг файлов (таких как /var/log/secure) и поиск в них следов bruteforce и других попыток некорректной авторизации. Так же, проверяет сервисы SSH, Dovecot, Nginx и другие. При обнаружении таковых — доступ с IP блокируется на фаерволе сервера. Установка выполняется на CentOS 6.6. Устанавливаем: # yum install fail2ban
AIDE (Advanced Intrusion Detection Enviornment) — система предотвращения взлома системы. Домашняя страница проекта — тут>>>. Суть системы — она создаёт свою базу данных директорий и файлов, и периодически отслеживает изменения в них. Устанавливаем: # yum -y install aide Проверяем: # aide -v Aide 0.14
PSAD — утилита для определения попыток сканирования открытых портов, при обнаружении таковых — отправляет оповещение на почту и может заблокировать атакующий хост. Для определения сканирования — использует указанную в конфигурации службу логирования, в данном случае — rsyslog. Устанавливаем: # yum -y install psad Редактируем /etc/rsyslog.conf. Добавляем строку: # for PSAD kern.info | /var/lib/psad/psadfifo IPTABLES генерирует очень… Читать далее »
Понадобилось узнать точное значение в конкретной системе. В документе RFC 1700 сказано: IP TIME TO LIVE PARAMETER The current recommended default time to live (TTL) for the Internet Protocol (IP) [45,105] is 64. Что бы проверить реальное значение (например, в CentOS) — можно использовать tcpdump с ключём -v и указанием протокола.
Виртуальная память (Virtual Memory) В современных операционных системах каждый процесс выполняется в собственном выделенном ему участке памяти. Вместо отображения (mapping) адресов памяти непосредственно на физические адреса, операционная система работает как некий абстрактный слой, создавая виртуальное адресное пространство для каждого процесса. Процесс отображение адресов между физической памятью и виртуальной памятью выполняется процессором с использованием «таблицы трансляции»… Читать далее »
Система: # cat /etc/redhat-release CentOS release 6.5 (Final) Текущее ядро: # uname -r 2.6.32-431.29.2.el6.i686 Ядро 3.10 было выбрано, т.к. оно используется в CentOS 7. См. также тут>>>. 1. Зависимости Для сборки и компиляции ядра 3.10 нам понадобятся: GCC последней версии; пакет Ncurses; обновление всех текущих пакетов до последней версии;
Файлы и директории Файл /proc/modules предоставляет информацию о модулях, которые установлены в ядре. Именно его содержимое используется утилитой lsmod для отображения данных: # head /proc/modules autofs4 20405 3 — Live 0xf8bbd000 ipt_REJECT 1867 2 — Live 0xf8b80000 nf_conntrack_ipv4 7694 2 — Live 0xf8b77000 nf_defrag_ipv4 1039 1 nf_conntrack_ipv4, Live 0xf8b6d000 iptable_filter 2173 1 — Live 0xf8b65000… Читать далее »
IPTABLES — руководство: часть 1 — основы IPTABLES IPTABLES — руководство: часть 2 — управление IPTABLES IPTABLES — руководство: часть 3 — параметры правил Общий обзор действий был дан в первом посте — IPTABLES — руководство: часть 1 — основы IPTABLES. Содержание: ACCEPT CONNMARK DNAT DROP LOG MARK MASQUERADE NOTRACK REJECT RETURN SNAT ULOG
IPTABLES — руководство: часть 1 — основы IPTABLES IPTABLES — руководство: часть 2 — управление IPTABLES IPTABLES — руководство: часть 4 — цели для правил Содержание: Основные параметры правил Параметры правил TCP Параметры правил UDP Параметры правил ICMP Дополнительные модули и параметры Addrtype Comment Connmark IP range Length Limit Mac Mark Multiport Owner Packet type… Читать далее »