OpenBSD monitorozas

OpenBSD-all

Hello all!

Erdekellne OpenBSD milyen alternativak vannak.Olyan dologokra kellene ,hogy : betoresek , SSH bruteforce ... , homereseklet , swap , memoria ...stb ilyesmik erdekellnenek olyan formba hogy a gepen csak egy klienst kelljen elhelyezni es egy masik szervere kuldje el az adatokat ha ismertek ilyet szojjatok koszi.

( bastya_elvtars | 2006. 05. 28., v – 20:53 )

Engem is érdekelne, mert a muninhez nem sok minden van.

( LGee | 2006. 05. 28., v – 21:17 )

Gondolom, a megfelelo eszkozok kimenetebol lehet pl mailt kuldeni. A hardver/szenzor adatok tekinteteben acpi tamogatas nem nagyon van, egyebkent van a sensorsd(8) erre a celra. Betoresekre van az nfd, aide vagy a snort... stb.

De google persze sok mindent talal, pl:
http://www.xs4all.nl/~wpd/mon/

es vannak kereskedelmi termekek is.

( macskas | 2006. 05. 28., v – 21:40 )

irsz egy scriptet ami sysctl bol meg swapctl bol szedi cuccokat aztan jois van ez mindent tud persze SSH betoresek nelkul. ami hulyeseg, mert ha lehetne detektalni mikor torik fel akkor, nem tudnak feltorni. azzal meg nem ersz semmit hogy figyeled mikor van ssh ra probalkozas mert akkor azzal lesz tele log.

szoval swapra:
swapctl -l
ebbol kiszeded swapra vonatkozo infokat

homersekletre / memre:
pl.: sysctl hw.sensors.7 ez nalam a procihomerseklet
es marism egvan monitorozo cuccod
esetleg memre egyszeruen ottvan top -b -d1
aztan abbol szeded ki.

elkuldesre meg irsz egy perl klienst ami udp kuldi szepen cuccokat masik gepre servert ami gyujti adatokat es kb ennyi az egesz.

persze c ben sem lenne hosszu ezt megirni mert van sok leiras melyik adatot hogy, de leggyorsabban perlel megcsinalod azt jovan

SSH betörési kísérleteket is lehet figyelni, van erre példa a pf FAQ-ban is. pl:

table '<'bruteforce'>' persist

blog quick from '<'bruteforce'>'

pass in inet proto tcp from any to $localnet port ssh \
flags S/SA modulate state state \
(max-src-conn 100, max-src-conn-rate 15/5, \
overload '<'bruteforce'>' flush global)

A ' nem kell a reláció jelek elé, de csak így vette be őket. :-)

Ha a kapcsolódás meghaladja a beállított értékeket, benyomja az illető IP-jét a bruteforce táblába és onnantól kezdve kap az arcába egy TCP RST-t ha tovább próbálkozik. Aztán az IP-ket szépen ki lehet gyűjteni egy script-el egy file-ba. A konkrét próbálkozásokat meg a /var/log/authlog-ban meg lehet tekinteni, ki mikor milyen loginnal próbálkozott.

http://openbsd.org/faq/pf/filter.html
http://www.bgnett.no/~peter/pf/en/bruteforce.html

jode ezek nem betoresi kiserletek ellen ved, csak scriptkiddiek ellen.
szoval elegge balfasz az akinek kitalaljak passjat iylen adatbazisbol. nekem annyi hogy ssh nincs is nyitva senki olyannak akinek dinamikus ipje van. ha meg nyitva van es kitalaljak passt bruteforce al az lol. hameg megtudjak vmi user passjat hogy feltortek annak a gepet, akkor meg mind1 hogy vanik e pfben rule neki. szoval ha feltorik geped utana meg semmit nemersz vele ha megtudod miyen iprol tortent. micsinalsz irsz zombie gep gazdajanak bssza meg? vagy kitiltod es legkozelebb mashonnan lep be? hat lol. szal en igy gondoltam ezt az ssh monitorozast.