Forum Debian Users Gang

Koshei · 2012-07-26 15:56:38

Witam, zainstalowalem sobie wczoraj debiana 6.0.5 i mam taki problem, bo chce zainstalowac sobie program psad, ale do jego poprawnego dzialania potrzebne bedzie skonfigurowac plik syslog.conf. Niestety nie mam tego pliku, ma ktos pomysl dlaczego? jak zrobic bym mial? szukalem po necie i nie moge znalezc odpowiedzi do tego.
Wczesniej mialem ubuntu, tez nie bylo tego pliku... pomyslalem ze jak zrobie reinstall na maszynie na debiana to sie ten problem naprawi.

PS. Zainstalowalem podstawowa wersje Debiana.

ArnVaker · 2012-07-26 16:02:28

W Debianie domyślnie jest rsyslog z konfigiem /etc/rsyslog.conf.

Koshei · 2012-07-26 16:06:18

Dziekuje Ci serdecznie za odpowiedź.
Jednak mam dodatkowe pytanie, korzystajac z tego poradniku w instalacji i konfiguracji programu psad ktory korzysta "chyba" z ustawien pliku syslog.conf jak mam go skonfigurowac aby dzialal?
http://www.cyberciti.biz/faq/linux-detect-port-scan-attacks/

Dodam że, zalezy mi na tym aby skonfigurowac odpowiednio program PSAD dzieki ktoremu będę mial bialo na czarnym wypisane kto mnie atakuje
PS. Posiadam serwer ktory jest czesto atakowany, zrobilem reinstall systemu na debiana, wczesniej uzywalem ubuntu.

copowieryba · 2012-07-26 16:24:56

ten pakiet zawiera /etc/syslog.conf [deb]sysklogd[/deb] tylko nie jestem pewien czy czegoś nie zepsuje

Jacekalex · 2012-07-26 18:16:35

Samo skanowanie portów zdaża się czasami co minutę, i w ogóle nie ma sę czym zajmować.
Weź, zainteresuj się [url=http://packages.debian.org/wheezy/xtables-addons-dkms]xtables-addons[/url], ustaw na domyślny cel blokowanych połączen tcp

Kod:

-j TARPIT --honeypot

i udp - cel

Kod:

-j STEAL

albo np

Kod:

-j REJECT --reject-with icmp-host-unreachable

, i szybko zobaczysz, że skanery portów nie są wcale straszne, ani na tyle ważne, żeby w ogóle się nimi interesować.

W dodatku systemowy firewall może bgarrdzo łądnie wyłapywać skanowania Nmapem:
http://www.cyberciti.biz/tips/linux-iptables-10-how-to-block-common-attack.html
http://www.linux-educd.pl/?p=147

Mój firewall (desktop)- tablice INPUT i FORWARD.

Kod:

iptables -S 
-P INPUT DROP
-P FORWARD DROP
-P OUTPUT ACCEPT
-A INPUT  -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p udp -m state --state INVALID,NEW -j STEAL
-A INPUT -p tcp -m state --state INVALID,NEW -j TARPIT --honeypot 
-A FORWARD -o ppp+ -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

A jak koniecznie chcesz wiedzieć, kto Cię atakuje, to zainteresuj się np [b]Honeypot[/b]em albo [b]Snort[/b]em, względnie jakims programem do sortowania logów i generowania raportów, lub podobne akcji interaktywnych, np [url=http://en.gentoo-wiki.com/wiki/Swatch]Swatch[/url] albo [url=http://www.gentoo.org/doc/en/logcheck.xml]Logcheck[/url].

Pozdrawiam
;-)

Ostatnio edytowany przez Jacekalex (2012-07-27 11:31:45)

RadekD · 2012-07-26 18:22:13

Z ciekawości spytam - w czym psad lepszy od np. portsentry, który chyba łatwiej skonfigurować.

Time (s)	Query
0.00009	SET CHARSET latin2
0.00004	SET NAMES latin2
0.00143	SELECT u., g., o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.129.63.252' WHERE u.id=1
0.00061	REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.129.63.252', 1732315537)
0.00034	SELECT * FROM punbb_online WHERE logged<1732315237
0.00087	DELETE FROM punbb_online WHERE ident='185.92.219.133'
0.00022	SELECT topic_id FROM punbb_posts WHERE id=207388
0.00031	SELECT id FROM punbb_posts WHERE topic_id=21682 ORDER BY posted
0.00028	SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=21682 AND t.moved_to IS NULL
0.00032	SELECT search_for, replace_with FROM punbb_censoring
0.00046	SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=21682 ORDER BY p.id LIMIT 0,25
0.00074	UPDATE punbb_topics SET num_views=num_views+1 WHERE id=21682
Total query time: 0.00571 s

Forum Debian Users Gang

Ogłoszenie

#1 2012-07-26 15:56:38

Koshei - Użytkownik

Brak pliku /etc/syslog.conf

#2 2012-07-26 16:02:28

ArnVaker - Kapelusznik

Re: Brak pliku /etc/syslog.conf

#3 2012-07-26 16:06:18

Koshei - Użytkownik

Re: Brak pliku /etc/syslog.conf

#4 2012-07-26 16:24:56

copowieryba - Użytkownik

Re: Brak pliku /etc/syslog.conf

#5 2012-07-26 18:16:35

Jacekalex - Podobno człowiek...;)

Re: Brak pliku /etc/syslog.conf

Kod:

Kod:

Kod:

Kod:

#6 2012-07-26 18:22:13

RadekD - Użytkownik

Re: Brak pliku /etc/syslog.conf

Stopka forum

Informacje debugowania