Помогите настроить сервер на ОС Linux для сканирования трафика на наличие каких-либо аномалий (Например: DOS/DDOS-атак), анализа логов и оповещения администратора о том, что в сети происходит что-то нехорошее.
Посоветуйте какие ПО можно использовать, как его лучше настраивать, какую литературу лучше почитать. Буду рад любой помощи.
Можете начать со Snort'а, соединить это с OSSEC-HIDS http://www.tux.in.ua/articles/1810 и http://www.tux.in.ua/articles/1819, плюс можете почитать http://www.xakep.ru/post/49948/default.asp
>Помогите настроить сервер на ОС Linux для сканирования трафика на наличие каких-либо
>аномалий (Например: DOS/DDOS-атак), анализа логов и оповещения администратора о том, что
>в сети происходит что-то нехорошее.
>Посоветуйте какие ПО можно использовать, как его лучше настраивать, какую литературу лучше
>почитать. Буду рад любой помощи.Письмо в личку. Поможем.
Есть ряд вопросов тут не опишешь
mikhno, а как написать в личку? Я первый раз на сайте, ничего типа "отправить личное сообщение" не нашел. И почты твоей не нашел...(ваще лузер походу....)
>mikhno, а как написать в личку? Я первый раз на сайте, ничего
>типа "отправить личное сообщение" не нашел. И почты твоей не нашел...(ваще
>лузер походу....)imikhno@list.ru
>>Помогите настроить сервер на ОС Linux для сканирования трафика на наличие каких-либо
>>аномалий (Например: DOS/DDOS-атак), анализа логов и оповещения администратора о том, что
>>в сети происходит что-то нехорошее.
>>Посоветуйте какие ПО можно использовать, как его лучше настраивать, какую литературу лучше
>>почитать. Буду рад любой помощи.
>
>Письмо в личку. Поможем.
>Есть ряд вопросов тут не опишешьой, вот только не надо этого..
>Помогите настроить сервер на ОС Linux для сканирования трафика на наличие каких-либо
>аномалий (Например: DOS/DDOS-атак), анализа логов и оповещения администратора о том, что
>в сети происходит что-то нехорошее.
>Посоветуйте какие ПО можно использовать, как его лучше настраивать, какую литературу лучше
>почитать. Буду рад любой помощи.погляди тут http://www.caligare.com/
Действительно плохо шарю в линухах. Хотелось бы побольше узнать о возможных инструментах защиты корпоративной сети от всевозможных угроз, атак, ошибок (возможно)...
Есть несколько решений у меня. Одна - на уже установленную Убунту ставить пакеты Апач, Снорт, МойСКуЭл, и т.д.
Вторая - OSSIM. ОС с уже встроенными апачами, снортами и т.п.
Может есть еще что-то?
Дайте ссылочку, я с удовольствием почитаю новую литературу.
Все, что нахожу в инете либо одно из вышеперечисленных, либо только начальный текст статьи, который денег стоит, чтобы прочесть.
Может что-то новое, простое, и дешевое посоветуете?
Еще раз говорю - я не шарю в этом. Линуксы начал изучать месяц назад, а уже надо сделать работу...
>[оверквотинг удален]
>Есть несколько решений у меня. Одна - на уже установленную Убунту ставить
>пакеты Апач, Снорт, МойСКуЭл, и т.д.
>Вторая - OSSIM. ОС с уже встроенными апачами, снортами и т.п.
>Может есть еще что-то?
>Дайте ссылочку, я с удовольствием почитаю новую литературу.
>Все, что нахожу в инете либо одно из вышеперечисленных, либо только начальный
>текст статьи, который денег стоит, чтобы прочесть.
>Может что-то новое, простое, и дешевое посоветуете?
>Еще раз говорю - я не шарю в этом. Линуксы начал изучать
>месяц назад, а уже надо сделать работу...Умений и знаний готовый комбайн вам добавит вряд ли, но за то поможет сделать работу вовремя =) Если знаний 0 то лучше OSSIM и инструкция по настройке, на родном языке http://sa.it-e.ru/content/2005/samag_05_30/samag5(30)-78-85.pdf
>[оверквотинг удален]
>>Дайте ссылочку, я с удовольствием почитаю новую литературу.
>>Все, что нахожу в инете либо одно из вышеперечисленных, либо только начальный
>>текст статьи, который денег стоит, чтобы прочесть.
>>Может что-то новое, простое, и дешевое посоветуете?
>>Еще раз говорю - я не шарю в этом. Линуксы начал изучать
>>месяц назад, а уже надо сделать работу...
>
>Умений и знаний готовый комбайн вам добавит вряд ли, но за то
>поможет сделать работу вовремя =) Если знаний 0 то лучше OSSIM
>и инструкция по настройке, на родном языке http://sa.it-e.ru/content/2005/samag_05_30/samag5(30)-78-85.pdfСпасибо огромное! То, что мне нужно!
И вообще всем откликнувшимся спасибо огромное!
Ребят! Поставил OSSIM, сейчас такая проблема - как с ней работать?
Искал руководства пользователя - не нашел что-то ничего.
Вопросы:
1) Где найти руководство пользователя?
2) В OSSIM не должно быть графического интерфейса? (у меня его нет)
2.1) Если есть графический интерфейс, скиньте пожалуйста ссылочку или совет дайте, как его включить, или как скачать. (в инстальнике его походу небыло)Если что, я устанавливал с по инструкции с сайта:
http://www.ossim.net/wiki/doku.php?id=installation
>[оверквотинг удален]
>Вопросы:
>1) Где найти руководство пользователя?
>2) В OSSIM не должно быть графического интерфейса? (у меня его нет)
>
> 2.1) Если есть графический интерфейс, скиньте пожалуйста ссылочку или
>совет дайте, как его включить, или как скачать. (в инстальнике его
>походу небыло)
>
>Если что, я устанавливал с по инструкции с сайта:
>http://www.ossim.net/wiki/doku.php?id=installationЕсли что, там еще мануал есть http://www.ossim.net/dokuwiki/doku.php?id=user_manual:introd... .
>[оверквотинг удален]
>>2) В OSSIM не должно быть графического интерфейса? (у меня его нет)
>>
>> 2.1) Если есть графический интерфейс, скиньте пожалуйста ссылочку или
>>совет дайте, как его включить, или как скачать. (в инстальнике его
>>походу небыло)
>>
>>Если что, я устанавливал с по инструкции с сайта:
>>http://www.ossim.net/wiki/doku.php?id=installation
>
>Если что, там еще мануал есть http://www.ossim.net/dokuwiki/doku.php?id=user_manual:introd... .Щас вот вообще самый классный носотык обнаружил. Заходим консолью на сервер, далее cat README.txt | less и вуаля - руководство пользователя!!!
Да, спасибо! Я в принципе вроде бы уже все сделал.
Пытаюсь зайти на сервак удаленно, он спрашивает логин и пароль. Ввожу root, а пароль не знаю какой.
Есть подозрение, что в настройках самой OSSIM этот пароль не задается. Нужно пароль задать в настройках MySQL. Отсюда вопрос, в какой папочке могут находиться эти самые настройки логина и пароля? (Нуб, знаю, но вы единственная моя надежда...)
>пароль задать в настройках MySQL. Отсюда вопрос, в какой папочке могут
>находиться эти самые настройки логина и пароля? (Нуб, знаю, но вы
>единственная моя надежда...)Ну то что ты нуб это понятно даже ежу.
Документацию бля читать не пробывал!
Пробовал. Но все что я читал друг с другом не сходится почему-то. В одном месте одно написано, в другом другое.
Может по умолчанию там пароль стоит какой-то?
Или хотя бы деректорию подскажите, в какой искать этот файлик настройки MySQL?
>Есть подозрение, что в настройках самой OSSIM этот пароль не задается. Нужно
>пароль задать в настройках MySQL. Отсюда вопрос, в какой папочке могут
>находиться эти самые настройки логина и пароля? (Нуб, знаю, но вы
>единственная моя надежда...)Попробуй admin/admin или загляни в /etc/ossim/ossim_setup.conf на предмет "pass".
В /etc/ossim/ossim_setup.conf смотрел, там пароль стоит простой 123456. Но не подходит. Мне сказали, что там пароль к БД, а не вход в МойЭсКуЭль...
Кстати и пароли все я сменил на 123456. Это может как-то повлиять?
Пытался восстановить пароль с помощью мануальчика - http://www.youisbee.ru/index.php/head/25-linux/73-mysqlpass....
В итоге на шаге 2 застрял (после команды # mysqld_safe --skip-grant-tables &)
Пишет , что :
opensourcesim:~# mysqld_safe --skip-grant-tables &
[1] 8160
opensourcesim:~# nohup: ignoring input and redirecting stderr to stdout
mysqld_safe[8202]: A mysqld process already exists[1]+ Exit 1 mysqld_safe --skip-grant-tables
пытался прописать команду:
opensourcesim:~# /etc/init.d/mysql stop
выдало:
Stopping MySQL database server: mysqld failed!
и больше ничего...
Че делать?
Ребят, спасибо! Все поставил вроде бы. Сейчас разобраться нужно во всем. Не подскажите, есть ли вообще русификатор на OSSIM?
А может есть подробный мануальчик с описанием что где настраивается?
Перелопатил гугл весь. Не нашел...Буду искать в яндексе, но не уверен, что найду что-нибудь. Подскажите плиз, если знаете...
Ребят. Вроде настроил сервак. Но иногда пишет подобную ошибку:Database ERROR:Database ERROR:Table 'datawarehouse.report_data' doesn't exist
Конкретно - когда захожу во вкладку Analysis -> SIEM делаю там какие-либо манипуляции, и выдает ошибку, выше описанную.
Как я понял, нужно создать базу с таким именем. А можете подсказать, что должно быть в этом файле?