monitoração do servidor / detecção de intrusão para o NAS inicial

0

Estou procurando algum tipo de monitor ou detecção de intrusão para monitorar meu NAS.

As seguintes coisas que gostaria de monitorar:

  1. Tráfego de rede de entrada (origem - > Roteador - > NAS) de outro
  2. país - > Alerta de e-mail Novos usuários foram criados no sistema - >
  3. Alerta de e-mail Carregamento de E / S inesperadamente alto - > Monitoramento de alertas de email
  4. serviço (Apache, MySQL, etc.) - > Alerta de e-mail / reinicialização de serviço

O monitoramento de serviços, ponto 4, eu poderia resolver com Monit . Mas e os outros pontos?

Existe algo pronto ou alguém tem idéias de como algo poderia funcionar em conjunto, por exemplo, com o Monit?

Por exemplo, para o ponto 2, gostaria de observar as alterações em um arquivo que todos os usuários podem atualizar, por exemplo, passwd.

Sou grato por sugestões ou soluções.

    
por Floyd 06.08.2015 / 16:40

2 respostas

2

basicamente tudo isso pode ser feito por algumas ferramentas de script e linux / unix disponíveis no mercado.

  1. Por enquanto, não tenho certeza do que você realmente quer dizer. O seu servidor é realmente roteador / gateway para o NAS? Se é do que você pode implementar uma variedade de soluções. Você pode registrar a ocorrência de regras com o IPTables, por exemplo, e usar a ferramenta bash do geoip-lookup para descobrir de qual país determinado endereço IP está. Se você encontrar a ocorrência de um disparador incomum do país enviando mail com mailx ou sendmail ... Se você quiser fazer uma contabilidade mais séria, pode usar ip-conntrack em vez de IPTables para fins de registro.

  2. Script invocado a cada x min, horas ou dias que monitorará o arquivo passwd. Você também pode monitorar o syslog ou o rsyslog.

  3. Novamente script que monitorará a saída de determinado comando. Mas para você, parece que o "tempo de atividade" seria bom o suficiente. E novamente mailx ou sendmail para envio de e-mail invocado do script

  4. solução de terceiros como nagios ou monit. Ou, novamente, escrever seu próprio script que analise o syslog ou verifique o status dos serviços.

Existe realmente uma variedade de possíveis soluções, mas novamente ... tudo depende das suas reais necessidades e habilidades ...

BR, Neven

    
por 06.08.2015 / 17:00
1

Você pode usar um script personalizado em execução no cron para verificar a alta carga de E / S e enviar um e-mail em caso afirmativo. Você pode usar o comando 'iostat' para rastrear a carga de IO no seu NAS, como descrito aqui .

Ou você pode instalar o Zabbix e rastrear os mesmos dados de desempenho com seu agente. Você também pode configurar o gatilho do Zabbix para rastrear a carga de E / S do disco. Você também pode verificar o arquivo '/ etc / passwd' para mudanças com o Zabbix, bem como verificar se novos usuários foram adicionados ao sistema, ou você pode fazê-lo com o script personalizado.

O rastreamento do tráfego de rede de outro país é a tarefa mais difícil aqui. Você pode configurar o seu 'iptables' para bloquear todas as conexões diferentes da lista de IP do seu país, mas será confuso.

    
por 01.06.2016 / 11:01