OSSEC – Otima ferramenta de segurança

 

Para você SysAdmin que tem a preocupação de saber se os seus servidores estão fazendo, ou melhor, o que estão tentando fazer com eles, eu recomendo a instalação do aplicativo OSSEC.

OSSEC é um app que irá checar todo seu sistema em busca de possiveis binários alterados e também fará um check de tudo que acontece. Se alguém tentar fazer um SSH para o seu servidor e errar a senha, você será notificado por email.

Ele é simples de ser instalado (inclusive com opção de instalação em português) e também possui a opção de que, caso o seu servidor esteja sofrendo um brute-force, ele automaticamente adiciona o IP de ataque no hosts.deny e sobe o iptables para bloquear as tentativas de acesso.

Há também opção de enviar os logs via RSYSLOG para um centralizador de logs e/ou instalar a interface web para gerenciar os acessos.

Abaixo, um exemplo de email que o OSSEC envia:

OSSEC HIDS Notification.
2011 Apr 06 16:30:08

Received From: localhost->/var/log/auth.log
Rule: 10100 fired (level 4) -> "First time user logged in."
Portion of the log(s):

Apr  6 16:30:07 localhost sshd[8227]: Accepted publickey for rsilveira from XXX.XXX.XXX.XXX port 28818 ssh2

--END OF NOTIFICATION

Para quem ficou interessado, acesse http://www.ossec.net/ para maiores detalhes e download do app.

Ricardo

Leave a Reply

Your email address will not be published. Required fields are marked *