Logwatch, fail2ban, Denyhosts

[michael-08]

Hallo Serversupportforum Community,

zur Überschrift.

Ich suche Anleitungen, wie ich die genannten Programme installieren und den Wünschen entsprechend einrichten kann.

Fail2ban habe ich gestern nach einem Tutorial auf howtoforge.org installiert, allerdings wurden dort die Settings nicht wirklich alle erklärt. Und soweit ich das verstehe, kann ich in diesem Tool Settings setzen die andere somit ausschliessen.

Ausserdem würde ich gerne Logwatch installieren und habe dazu noch keine brauchbare Quelle gefunden. Hab seit gestern Abend danach gesucht.

Denyhosts würde ich auch gerne mit zu diesem thread hinzunehmen, allerdings denke ich das ich mit der richtigen fail2ban setting dieses programm nicht benötigen werde.

Ich benutze das OpenSUSE 10.3 und wäre für hilfreiche Links, Tutorials und vielleicht sogar ein kurzes crash in dankbar.

 

[Huschi]

Fail2ban ..., allerdings wurden dort die Settings nicht wirklich alle erklärt.

Die Config ist voller Kommentare und Erklärungen.
Sag einfach konkret, was Du nicht verstehst, dann kann man es Dir erklären.

... Logwatch installieren und habe dazu noch keine brauchbare Quelle gefunden.

yast -i logwatch
oder
www.logwatch.org

huschi.

 

[michael-08]

Danke Huschi für die Antwort. Meine Wünsche in diesem Thread bezogen sich auf allgemein gut erklärte Tutorials, Anweisungen. Es waren mir die Dokumentationen wichtig die übersichtlich erklärt wären. Ein selbstgeschriebenes HowTo ist meist einfacher zu lesen als ein Handbuch. Nur aus diesem Grund. Aber ich konnte selbst in Google nicht wirklich was finden.


Das mit der fail2ban Settings setze ich später mal kurz rein. Hab das wirklich fragen zu.

 

[michael-08]

Naja, nach Überlegung habe ich nun Denyhost anstatt fail2ban und zusätzlich logwatch installiert.

Was könnt ihr mir zu PortSentry und zu rkhunter sagen?

Wie verhalten sich PortSentry und rkhunter bei einem vServer? Leistung ausreichend?

Denyhost und Logwatch nehmen jetzt nich soviel ram für sich ein, aber ich denke das das bei rkhunter anders sein wird??!??

 

[Mordor]

Schau dir doch einfach mal OSSEC an. Damit hast du die Möglichkeit einmal nach Rootkits suchen zu lassen, dir bestimmte Alertmeldungen zuschicken zu lassen (wenn Mysql-Tabellen gecrashed sind, oder angriffe auf bestimmte Ports stattfinden) und Ossec sperrt auch bestimmte IPs wenn Angriffe häufiger von der selben IP vorkommen. Ausserdem überprüft OSSEC die Checksummen der Konfigdateien, so dass dir gemeldet wird, wenn eine dieser Dateien verändert wurde.

 

[Deleted member 4401]

Mit Portsentry habe ich gemischte Erfahrungen gemacht, auf Debian Sarge lief alles problemlos, auf Debian Etch kam es aber gehäuft zu false positives (Grund unbekannt, Portsentry config und auf dem System laufende Services sind die Gleichen wie auf Sarge), wurde sogar schon selbst gesperrt. Der RAM Verbrauch von Portsentry ist jedenfalls minimal, also einfach ausprobieren.