Några Webmin frågor/IDS vägledning

[eric.scott]

Hej!
Fått utmärkt hjälp här förut och har nu några nya funderingar.
Administrerar min server i dagsläget via SSH terminal men har nu fått upp ögonen för Webmin eller någon annan grafisk "fjärradmin-panel" som ett komplement för att göra jobbet enklare. Kör med stränga prestanda krav på en mycket kompakt server och undrar hur Webmin skulle försämra prestandan? Använder även vsFTPD tillsammans med en fil för lösenord och användarnamn för att slippa köra någon "tung" databas. Skulle Webmin klara att användas på detta sätt när jag vill ändra i användarfilen? Läste också här på forumet att Webmin kan fördärva en del saker med?

Letar främst efter någon sorts kontrollpanel där man skulle kunna övervaka/administrera hela servern, där intrång, angrepp och åtkomst enkelt skulle bli synliga.

[mattiash]

Webmin är en känslig fråga
den skulle inte dra ner din prestanda så mycket men webmin gör en annan obehaglig sak.
Den kan nämligen göra egna saker med din server.
För mg tog den bort lo interfacet.
Så jag kune inte pinga något eller komma åt localhost.

Tog ett tag innan jag fick bukt med det.
Men å andra sidan finns det inget bra system idag att övervaka och confa servern.

om du letar efter system mot angrepp är den en IDS du ska ha.
Och där finns det flera att välja
http://www.prelude-ids.com/en/welcome/index.html

eller om du bara vill övervaka finns munin elelr nagios.
Ska du söka i loggfiler eller i andra olika typer kan splunk vara något den kan ta imot flera olika inputs som den sedan kan visa.


// matte

// matte

[northface]

Intressant det här med webmin. Har använt det på ett antal servrar, men aldrig haft något problem. Tunnlar webmin m.h.a ssh.

Finns det några referenser, där man kan läsa om att webmin "förstör" - eller är det bara hörsägen?

[eric.scott]

Ah, i så fall kan webmin vänta lite men en IDS skulle sitta fint så man kan sova gott om nätterna.
Försökt läsa på lite om de olika och fann att det fanns flera olika varianter.
Vad är skillnaden på dessa, någon att rekommendera? Eftersöker högsta möjliga säkerhet och gärna ett lättarbetat program (webbgränssnitt?)
http://www.prelude-ids.com/en/developme ... index.html
Är PreludeIDS också, precis som OSSEC och Snort en IDS?

Tack på förhand!

[northface]

Kör själv OSSEC HIDS och är nöjd med den. Inget GUI men lätt att konfigurera för grundläggande skydd och övervakning.

[mattiash]

Tjena !

Jag Håller på att sätta upp en prelude nu så jag kan inte säga hur väl den funkar än.
Men OSSEC lirar på bra.

Har för mig att OSSEC skyddar en dator medans prelude kan skydda flera.
Du kan i prelude övervaka flera sevrar genom att installera ett client på flera olika servrar.

Men har läst det med OSSEC genom att sätta upp en syslog server som ar imot loggfilerna från alla andra servrar ink min brandvägg som har en snort installerad som skickar sina loggfiler.
Sedan låter jag OSSEC leta i dessa filer.
funkar fatktiskt riktigt grymmet testa att köra en portscan mot en av servrana som skickar sina loggfiler och det tar inte många sekunder innan OSSEC sparkar bakut och blockar en från servern.

Har även hittat splunk som är ett grymt program som man kan skicka in sina loggfiler till.
Sedan kan man söka i loggfilerna från alla sina servrar vilket är väldigt trevligt.

// matte

[eric.scott]

Ah, ok.
Kikat på denna guiden: http://www.howtoforge.com/snort-ossec-p ... tsy-gibbon Tyvärr kör jag ingen databas på servern men det kanske går ändå?

[eric.scott]

Eftersom jag bara har en server kanske jag inte behöver sätta upp en prelude + OSSEC + Snort?
Splunk verkar som ett bra program för övervakning men borde man köra någon av programmen ovan (eller kanske kombinationen av alla tre) för att känna sig helt säker mot angrepp?

Mina erfarenheter av terminalen (kör inget GUI på servern) via SSH är små. Därför skulle någon sort av webbadministrering sitta fint Om jag förstått det rätt kan både Splunk och Prelude erbjuda ett grafiskt webbgränssnitt?

Lite vilsen i djungeln av IDS och övervakning men ska försöka reda ut detta med lite hjälp

[northface]

Min uppfattning är att du inte ska sätta upp prelude + OSSEC + Snort. Finns ingen anledning att göra detta om man inte har full koll på vad man håller på med. Det kan istället skapa säkerhetsluckor.

Jag tycker du ska börja med att lära dej sätta upp OSSEC. Det finns bra dokumentation och det är inte svårt.

Sen finns det tydligen även ett grafiskt användargränssnitt numera:
http://www.ossec.net/wiki/index.php/OSSECWUI

Ubuntu
http://ubuntuforums.org/showthread.php?t=213445
alt.
http://www.howtoforge.com/intrusion_det ... ossec_hids

[eric.scott]

Tack!

Ska börja så fort jag får lite tid över Frågar om jag kör fast!
Ursäkta för det långsamma svaret.

[eric.scott]

Nu har jag kommit igång. Tyvärr tog det stopp:

Kod: Markera allt

5- Installing the system
 - Running the Makefile
./install.sh: line 84: make: command not found

 Error 0x5.
 Building error. Unable to finish the installation.

Kanske har något med detta att göra?

OSSEC HIDS v0.9-1 Installation Script - http://www.ossec.net

You are about to start the installation process of the OSSEC HIDS.
You must have a C compiler pre-installed in your system.
If you have any questions or comments, please send an e-mail
to dcid@ossec.net (or daniel.cid@gmail.com).

Tacksam för hjälp

[northface]

Innan du börjar kompilera måste du ha build-essential installerat:

Kod: Markera allt

sudo apt-get install build-essential

[eric.scott]

Ah, på http://ubuntuforums.org/showthread.php?t=213445 står det

sudo apt-get install build-essentials

därför gick det inte
Installerat och klart nu! Tack för hjälpen

Tyvärr ser jag i OSSEC log att mail alert inte verkar fungera?

Kod: Markera allt

ossec-maild(1223): ERROR: Error Sending email to 64.233.183.111 (smtp server)

Skrev in min gmail adress och som server: smtp.gmail.com.

[northface]

Se om du kan hitta något mer i loggarna. Det kan vara så att gmails smtp-servrar inte accepterar mailen.
Pröva med din ISP:s smtp-servrar oxå.

[eric.scott]

Bytt till mail1.telia.com
Här är hela loggfilen:

Kod: Markera allt

 tail -f /var/ossec/logs/ossec.log
2008/08/11 21:08:11 ossec-rootcheck: INFO: Started (pid: 2244).
2008/08/11 21:08:11 ossec-logcollector(1950): INFO: Analyzing file: '/var/log/messages'.
2008/08/11 21:08:11 ossec-logcollector(1950): INFO: Analyzing file: '/var/log/auth.log'.
2008/08/11 21:08:11 ossec-logcollector(1950): INFO: Analyzing file: '/var/log/syslog'.
2008/08/11 21:08:11 ossec-logcollector(1950): INFO: Analyzing file: '/var/log/vsftpd.log'.
2008/08/11 21:08:11 ossec-logcollector(1950): INFO: Analyzing file: '/var/log/mail.info'.
2008/08/11 21:08:11 ossec-logcollector(1950): INFO: Analyzing file: '/var/log/dpkg.log'.
2008/08/11 21:08:11 ossec-logcollector(1950): INFO: Analyzing file: '/var/log/apache2/error.log'.
2008/08/11 21:08:11 ossec-logcollector(1950): INFO: Analyzing file: '/var/log/apache2/access.log'.
2008/08/11 21:08:11 ossec-logcollector: INFO: Started (pid: 2240).
2008/08/11 21:08:30 os_sendmail(1704): Mail from not accepted by server
2008/08/11 21:08:30 ossec-maild(1223): ERROR: Error Sending email to 81.228.8.29 (smtp server)

Kollar inte OSSEC SSH server också? Ser inte den i listan här

[northface]

2008/08/11 21:08:30 os_sendmail(1704): Mail from not accepted by server
Visar att smtp-servern inte är nöjd med avsändaradressen. Vad har du skrivit i följande element?
<email_to>
<email_from> ( försök med ossec@telia.com)
<smtp_server>

De intressanta händelserna för SSH servern registreras och analyseras i /var/log/auth.log

[eric.scott]

Bytt till min @telia.com adress:

Kod: Markera allt

2008/08/12 18:22:08 ossec-logcollector: INFO: Started (pid: 2036).
2008/08/12 18:22:27 os_sendmail(1704): Mail from not accepted by server
2008/08/12 18:22:27 ossec-maild(1223): ERROR: Error Sending email to 81.228.11.34 (smtp server)

min ossec.conf:

Kod: Markera allt

 <email_notification>yes</email_notification>
    <email_to>eric.scott@telia.com</email_to>
    <smtp_server>mail1.telia.com</smtp_server>
    <email_from>ossecm@NSLU2</email_from>

De intressanta händelserna för SSH servern registreras och analyseras i /var/log/auth.log

Ah, tack!

[northface]

Ändra
<email_from>ossecm@NSLU2</email_from>
till
<email_from>ossecm@telia.com</email_from>
och testa.

[eric.scott]

Tyvärr

Kod: Markera allt

2008/08/12 20:10:51 ossec-logcollector: INFO: Started (pid: 2349).
2008/08/12 20:11:10 os_sendmail(1704): Mail from not accepted by server
2008/08/12 20:11:10 ossec-maild(1223): ERROR: Error Sending email to 81.228.11.34 (smtp server)

Med ossec.conf:

Kod: Markera allt

 <email_notification>yes</email_notification>
    <email_to>eric.scott@telia.com</email_to>
    <smtp_server>mail1.telia.com</smtp_server>
    <email_from>ossecm@telia.com</email_from>

Kanske behöver öppna någon port?

[northface]

Startade du om OSSEC efter ändringen?