Como instalar o sistema de detecção de intrusões no Ubuntu 12.04

  

O Snort é o Sistema de Detecção de Intrusão de Rede (NIDS). Snort pode cheirar   sua rede e alertá-lo com base em sua regra DB, se houver um ataque   na sua rede de computadores. É um sistema opensource que foi construído   do tcpdump (ferramenta sniffer do linux).

Este guia pode ser usado para instalar o snort

  

psad: Detecção de Intrusão e Análise de Log com o iptables psad é um   coleção de três daemons do sistema leve (dois daemons principais e   um daemon auxiliar) que é executado em máquinas Linux e analisa o log do iptables   mensagens para detectar varreduras de portas e outros tráfegos suspeitos. Um típico   implantação é executar psad no firewall iptables onde tem o   acesso mais rápido aos dados de registro.

Se você estiver usando o 12.04LTS Server, consulte Como instalar o PSAD Intrusion Detection no servidor Ubuntu 12.04 LTS.

Fontes:
link
link

Você pode dar uma olhada em fail2ban , que está diretamente contido nos repositórios (para que você possa simplesmente "sudo apt-get install fail2ban"). Eu uso isso há anos e isso impediu que muitos hackers saíssem do meu servidor, bloqueando-os. O Fail2ban funciona analisando os arquivos de log para padrões especificados (ele vem com uma boa configuração de amostra) e, em seguida, bloqueando o IP dos invasores - por exemplo, Se um hacker fez 5 tentativas fracassadas de login via ssh (mesmo para contas diferentes), você pode ter seu IP bloqueado por um período de tempo especificado (por exemplo, 30min). Existem exemplos enviados para diferentes serviços, basta dar uma olhada na página para obter informações adicionais.

Editar: Notificações também são possíveis (envie um e-mail se algo for detectado).

Para responder à sua pergunta, uma configuração passo a passo:

link

Veja também este, mas o acima funcionou melhor para mim. Não espere que nada funcione da primeira vez:

link