我在LUbuntu 18.04上安装了一些服务器,例如postgresql服务器,mysql服务器,vino服务器,并且我可能在不知情的情况下安装并运行了一些服务器。我很少打算从另一台计算机访问它们,并且没有采取任何措施来配置服务器以确保它们的安全,直到我有时间熟悉它们,所以我担心安全问题。
如何监控、记录和检查我的 LUbuntu 上的端口是否已被其他计算机扫描或连接到,无论是在我的本地 wifi 内还是从互联网(如果我的本地 wifi 中的计算机在我的控制范围内或之外都可以访问)来自网络)?
例如,不久前,我的 vino 服务器在 stdout 上写入消息,称来自互联网的一些奇怪的 IP 设法侵入我的本地 wifi 并连接到它。从那时起我就停止运行它了,但仍然没有时间和想法来解决这个问题。 https://askubuntu.com/questions/1067305/is-my-vino-server-being-attacked 我对 Lubuntu 上运行的其他服务器也有同样的担忧。所以我想检查和监视与它们的连接,只是为了暂时发现任何问题(在我获得一些知识和技能之前不会尝试解决它们)。
答案1
从网络/系统管理员的角度来看,您提出的问题通常是一个更广泛的主题,并且取决于您的需求、规模和安全策略。
网络上用于检测入侵者的日志生成器解决方案包括:
- 应用程序特定日志;
- 设备特定日志(例如防火墙、路由器……)
- 认证日志
- DHCP/DNS 日志
- iptables 日志
- 入侵检测解决方案 (IDS)
- 蜜罐
- 网络流解决方案
至于收集这些日志,您通常可以:
- 中央系统日志服务器;
- 网络流收集器
- 将日志与外部事件(例如 IP 安全黑名单)相关联的解决方案。
但是,从您的问题描述来看,我更关心防火墙/有效地将内部网络与互联网分开。
至于提供有关安全/入侵系统领域中特定且有趣的工具的提示,请查看:
PSAD 如何检测攻击?
检测端口扫描可以通过嗅探线路上的数据包来完成。这是许多入侵检测系统使用的方法。在这种情况下,PSAD 只是读取系统日志。系统日志消息由 IPTables 防火墙日志记录生成。 PSAD 脚本解析日志以查找相关信息并创建简单的报告。
在信息安全领域,您遇到的最常见的入侵检测系统 (IDS) 是 Snort。您可能已经知道,IDS 的工作原理与桌面上的防病毒 (AV) 软件类似。它尝试识别您网络上的恶意软件并警告您该软件的存在。
OSSEC 是一个基于主机的开源入侵检测系统,可用于跟踪服务器活动。它支持大多数操作系统,如 Linux、FreeBSD、OpenBSD、Windows、Solaris 等。它用于以服务器/代理模式监控一台或多台服务器,并让您实时查看服务器上发生的情况。 OSSEC 具有跨平台架构,使您能够从集中位置监控多个系统。
Suricata 是一款免费开源、成熟、快速且强大的网络威胁检测引擎。
Suricata 引擎能够进行实时入侵检测 (IDS)、内联入侵防御 (IPS)、网络安全监控 (NSM) 和离线 pcap 处理。
Suricata 使用强大且广泛的规则和签名语言检查网络流量,并具有强大的 Lua 脚本支持来检测复杂威胁。
通过 YAML 和 JSON 等标准输入和输出格式,与现有 SIEM、Splunk、Logstash/Elasticsearch、Kibana 和其他数据库等工具的集成变得毫不费力
也可以看看蜜网项目
PS 我家里的内部网络完全不受外部防火墙的影响,进入/使用内部服务(SSH/网站/VoIP/虚拟机/温度传感器)的唯一方法是通过 IPsec VPN。
如果可以避免的话,我绝不会向互联网公开 Web 服务器或 SSH 服务。
基于 VNC 的解决方案本质上也是不安全的,并且不应该暴露在互联网上。
psad 对于小型网络(也许是 suricata)应该很有趣,尝试运行您自己的 DNS 服务并观察日志