Как узнать, какие другие системы пытаются попасть в Ubuntu?

13

В настоящее время я использую Ubuntu Desktop 11.04 и включил брандмауэр с помощью GUFW. Я также отключил все ненужные сервисы. Я подключен к Интернету и хотел бы узнать подробности о любых других системах, пытающихся сканировать мою систему на наличие открытых портов или любых уязвимостей. Есть ли программное обеспечение, которое будет регистрировать это в файл, который я могу проверить?

Примечание: я ищу подход, которому могут следовать начинающие пользователи Ubuntu, а не только эксперты. GUI является предпочтительным.

networking Правин Срипати
источник
1
Не забывайте, что ваш маршрутизатор может регистрировать входящие запросы!
Rinzwind
Если нет роутера и напрямую подключен к интернету?
Правин Срипати
1
Я думаю, что это не самое мудрое решение, если вы боитесь ppl-сканирования вашей системы, но теперь я понимаю вопрос;) Я считаю, что вы никогда не должны выходить в Интернет с системой без маршрутизатора. Даже из коробки дают лучшую безопасность, чем система, напрямую подключенная. Не знаю, дорогие ли они там, где ты живешь, но 20 евро / 25 долларов дают мне приличную цену;)
Rinzwind
2
@Rinzwind: Вероятно, маршрутизатор работает под управлением linux с включенным большим количеством служб, чем при установке по умолчанию в Ubuntu, и, вероятно, с более слабыми политиками обновления. Не очень безопаснее, имхо.
Хавьер Ривера
Это плохой совет. Маршрутизаторы обычно содержат уязвимости - в то время как исправленная коробка Ubuntu, вероятно, нет! Кроме того, NAT не является безопасностью, а с IPv6 у вас даже нет NAT!
Видарло

Ответы:

8

Попробуй это

sudo ufw logging on

Вы должны увидеть доступ в /var/log/syslog. Но это необработанные журналы, которые показывают только индивидуальный доступ. Сама UFW не имеет какого-либо инструмента для обобщения этого доступа к полезному отчету. Также я не знаю об инструменте, который может сделать это.

Фальстаф
источник
/ var / log / syslog также содержит много других журналов. Я ищу более простой подход, который был бы полезен для тех, кто плохо знаком с использованием Linux / Ubuntu.
Правин Срипати
Позволь мне понять это. Вы запрашиваете инструмент с графическим интерфейсом (который позволит только одному делать то, о чем думал разработчик инструмента), который позволит неподготовленным новичкам в Linux безопасно подключиться напрямую к Интернету и показать им, что происходит (простым языком) в качестве системы (с отключенными «всеми ненужными службами») защищает себя от всех атак? Не научившись читать логи? Я думаю, что вы ищете невозможное.
Вальтинатор
0

Вы можете попробовать это http://www.howtoforge.com/intrusion-detection-with-snort-mysql-apache2-on-ubuntu-7.10

Примечание: это старый пост, написанный для Ubuntu 7.10. Но поможет вам понять, как это работает.

aneeshep
источник
Примечание: я ищу подход, которому могут следовать начинающие пользователи Ubuntu, а не только эксперты. GUI является предпочтительным.
Правин Срипати
0

Snort - это бэкэнд, и другие программы предоставляют ему графический интерфейс (обычно через веб-интерфейс). Вот список программ, которые будут работать: GUI для Snort К сожалению, для них нет официальных пакетов ubuntu (позаботьтесь о ossim, это совершенно другой пакет). Если бы мне пришлось создавать приложение сейчас, я бы сначала посмотрел на http://snorby.org/, потому что разработка многих других проектов, похоже, застопорилась.

johanvdw
источник
0

Я бы, вероятно, использовал PSAD (детектор атак сканирования портов).

Я нашел довольно простую запись здесь:

http://www.cyberciti.biz/faq/linux-detect-port-scan-attacks/

Тем не менее, это, вероятно, не для начинающих званий.

Тим Хоулэнд
источник