Brute Force Detection (BFD) – программа для мониторинга взлома перебором паролей и ее установка
BFD или Brute Force Detection - это модульное приложение, используемое для того, чтобы отследить попытки взлома сервера, произведенные при помощи перебора паролей. BFD - абсолютно надежный и простой скрипт, который можно быстро установить, сконфигурировать и настроить.
Принцип работы BFD заключается в том, чтобы отслеживать и блокировать IP хакеров, пытающихся взломать сервер при помощи перебора паролей. IP взломщика блокируется после определенного количества попыток вывести пароль.
Для того, чтобы система работала, необходимо установить файрвол APF
1. Затем войти в систему как ROOT.
2. Ввести: wget http://www.rfxnetworks.com/downloads/bfd-current.tar.gz
3. После чего ввести: tar -xvzf bfd-current.tar.gz
4. И добавить: cd bfd*
5. Далее можно установить BDF на сервер.
Вводим:./install.sh в ответ на которое должно появиться сообщение:
**BFD installed
Install path: /usr/local/bfd
Config path: /usr/local/bfd/conf.bfd
Executable path: /usr/local/sbin/bfd **
6. Как только вы увидите такое сообщение, необходимо отредактировать конфигурационный файл и запустить скрипт. Для этого нужно ввести : pico -w /usr/local/bfd/conf.bfd
7. Ищем строку: ALERT_USR=”0″ и меняем ее на : ALERT_USR=”1″
Под ней не забудьте изменить свой email:
EMAIL_USR=”root” на EMAIL_USR=”емайл@вашдомен”
9. После чего необходимо записать изменения в файле, для чего необходимо нажать: CTRL-X потом Y потом “Enter”
10. Необходимо ввести IP, который не будет блокироваться:
Введите: pico -w /usr/local/bfd/ignore.hosts
11. Вводим собственный IP адрес, чтобы не получить блокировку при сбоях в работе системы или при других проблемах.
Для этого вводим: pico -w /etc/apf/allow_hosts.rules и собственный IP в конце
12. Сохраняем: CTRL-X
Вводим: pico -w /usr/local/bfd/ignore.hosts
Для предотвращения рассылки сообщений вводим в этот файл свой IP.
Сохраняем: CTRL-X , затем жмем Y для записи, и выбираем “Enter”
13. Запускаем BDF и вводим: /usr/local/sbin/bfd -s
После таких манипуляций малейшая попытка взлома вашего сервера перебором паролей будет пресечена блокировкой IP хакера и отправкой сообщения о проделанной работе на ваш имейл.
15 Декабрь 2008 в 17:27
Настройка и конфигурация System Integrity Monitor (SIM)
Мы покажем пример конфигурации SIM на основе рабочего файла, а вы можете настраивать и изменять конфигурацию программы, как того пожелаете.
Where is SIM installed ? Директория установки
[/usr/local/sim]:
Enter
Where should the sim.log file be created ? Директория записи логов
[/usr/local/sim/sim.log]:
Enter
Max size of sim.log before rotated ? (KB) Размер логов без ротации
Введите: 512
Enter
Where should alerts be emailed to ? (user@domain) Адрес отправки предупреждений
Введите: ******@******.*** (Рекомендуем указывать адрес НЕ НА ЭТОМ СЕРВЕРЕ)
Enter
Disable alert emails after how many events, to avoid email flood ? Количество предупреждений в сутки, после которого отсылка отключается для предотвращения флуда
[15]:
Enter
The below are configuration options for Service modules: Конфигурация отдельных модулей
Auto-restart services found to be offline? Автозапуск остановившихся сервисов?(true=разрешить, false=запретить)
[true]:
Enter
Enforce laxed service checking? Разрешить проверку служб?
[true]:
Enter
Disable auto-restart after how many downed service events ? Отключить автовосстановление после какого количества попыток в сутки?
[10]:
Enter
Enable FTP service monitoring ? Разрешить проверку сервера ФТП?
[false]:
Enter
Enable HTTP service monitoring ? Разрешить проверку сервера HTTP?
[true]
Enter
Enable DNS service monitoring ? Проверка ДНС сервера
true
Enter
Enable SSH service monitoring ? Проверка SSH сервера
true
Enter
Enable MYSQL service monitoring ? Проверка MySQL сервера
true
Enter
Enable SMTP service monitoring ? Проверка SMTP сервера
true
Enter
TCP/IP port that SMTP operates on ? Порт, назначеный для работы SMTP
[25]:
Enter
Enable XINET service monitoring ? Проверка работы XINET сервера
true
Enter
TCP/IP port that any XINET service operates on ? Порт для работы XINET
[110]:
Enter
Enable ENSIM service monitoring ? Разрешить проверку работы ENSIM сервера?
Enter
Enable PGSQL service monitoring ? Разрешить проверку работы PGSQL сервера?
[false]:
Enable semaphore cleanup ?
[false]:
Enter
Enable URL aware monitoring ? Разрешить мониторинг URL сервера?
true
Enter
URL path to a local file ? (exclude HTTP://)
Внимание - URL должен быть размещен на сервере, иначе HTTP не будет перезапускаться
Введите: *****.***/index.html - один из ваших URL на данном сервере
Enter
**Одна из частых причин падений сервера - чрезмерный величина HTTP логов. Следующая функция следит за размерами логов.**
Enable HTTP log monitor ? Разрешить проверку логов?
true
Press Enter
Enable MySQL Socket correction ? Разрешить проверку и восстановление mysql.sock socket файлов?
[false]:
Enter
Enable NETWORK monitoring ? Мониторинг сети?
true
Enter
interface to monitor ?
[eth0]:
Enter
Enable LOAD monitor ? Мониторинг нагрузки ?
true
Enter
Load level before status condition ‘warning’ ? Уровень нагрузки для отправки предупреждения ?
5
Enter
Load level before status condition ‘critical’ ? Уровень нагрузки для отправки сообщения о критической нагрузке
10
Enter
Enable a global (wall) message at status condition ‘warning’ & ‘critical’ ?
[false]:
Enter
Renice services at status condition ‘warning’ or ‘critical’ ?
(3 values - warn, crit, false - false=disabled)
[false]:
Enter
Stop nonessential services at status condition ‘warning’ or ‘critical’ ?
(3 values - warn, crit, false - false=disabled)
[false]:
Enter
Reboot system on status condition ‘warning’ or ‘critical’ ?
(3 values - warn, crit, false - false=disabled)
[false]:
Enter
После конфигурации SIM (System Integrity Monitor) необходимо добавить сервис в кроны.
Введите: ./setup -c
При сообщении : “Removed SIM cronjob.” необходимо повторить ввод
Введите: ./setup -c
Должно последовать сообщение: Installed SIM cronjob.
После чего SIM запущен, сконфигурирован и установлен!