Re: intrusione

To: debian-italian@lists.debian.org
Subject: Re: intrusione
From: Pol Hallen <debitvaio@fuckaround.org>
Date: Fri, 12 Jul 2013 12:50:06 +0200
Message-id: <[🔎] 51DFDF5E.30208@fuckaround.org>
In-reply-to: <[🔎] 51DF0228.9070303@fuckaround.org>
References: <[🔎] 51DF0228.9070303@fuckaround.org>

Rinnovo i ringraziamenti a tutti :-)

Ovviamente: "mea culpa" ad aver messo password banali su un server di
test (ho sottovalutato l'ambito sicurezza) - quello che è successo ieri
mi servirà da lezione :-P

Giusto in questo periodo (altra cosa paradossale) - su un server di
produzione ho implementato alcuni IDS. Così se qualcuno è rimasto
allibito dalla mia esperienza... sa da dove partire:

- fail2ban: blocca tramite iptables gli IP (con possibilità di
configurare se bloccare l'IP sulla porta o fare un DROP completo all'IP)

- psad: banna con notifiche via mail (quindi alert in tempo reale) dei
tentativi di scanport (nmap) o altro

- snort (potentissimo!) ma sto ancora studiando le regole

- logcheck (monitora cosa accade nel sistema) e invia un report di ciò
che è accaduto (tipo la creazione di un nuovo utente), cambio password,
cambio file di sistema, ecc.

sul server in produzione ho tutti questi IDS e sto iniziando ad
allineare il tutto

denyhost (come suggeriva qualcuno) ci do un occhio, grazie

e aggiungo portsentry (che usavo anni fa): simula porte aperte per
rendere + difficile i tentativi di accesso.

Saluti

Pol

Reply to:

Follow-Ups:
- Re: intrusione
  - From: Walter Valenti <waltervalenti@yahoo.it>
- Re: intrusione
  - From: "Mr. P|pex" <gianluca@pipex.name>

References:
- intrusione
  - From: Pol Hallen <debitvaio@fuckaround.org>

Prev by Date: Re: PDF non leggibili
Next by Date: Re: intrusione
Previous by thread: Re: intrusione
Next by thread: Re: intrusione
Index(es):
- Date
- Thread