Como detectar atividade irregular em LAN / PC?

Uma possível solução aqui seria usar o OSSEC .

Ele pode ser baixado em aqui .

Por padrão, ele não executa todas as seis funções necessárias listadas na pergunta, algum software adicional precisa ser instalado, por padrão, o OSSEC vigia essas quatro coisas (alertas de e-mail podem ser habilitados separadamente para notificações de nível inferior) :

1) Tentativas de autenticação falhadas
2) Verificações de portas, você pode ler mais sobre isso na documentação aqui .
3) Dispositivo inicializando

4) Login

Esses dois precisam ser ativados ou configurados separadamente:

5) Detecção de envenenamento por ARP
6) A detecção de novo host na rede também deve ser ativada quando o conjunto de regras arpwatch (anterior) estiver ativado

Você pode encontrar o aqui do arpwatch ou no conjunto de regras pasta da sua instalação.

Há muito o que você pode fazer com a segurança, e tudo isso será uma ótima educação!

Eu usei o Fail2ban para evitar tentativas de acesso repetidas principalmente para tentativas de hackeamento HTTP. ele lê arquivos de log, então é muito muito configurável, é um pouco complicado, mas vale a pena ler.

Você pode ver quem fez o último login usando o comando lastlog .

O comando sudo arp mostrará os endereços na sua rede para que você possa identificar possíveis falsificações com endereços MAC que você não reconhece.

iptables que o fail2ban também usa pode ser usado para negar um endereço IP ou protocolo específico. (cuidado com isso, a menos que você tenha acesso físico).

Indo um pouco mais em rede você pode procurar wireshark isso pode capturar tráfego e mostrar solicitações ARP.

Tudo isso é uma boa prática, mas eu acho que principalmente o que você precisa é usar o WPA2 com uma senha longa em seu WiFi, alterá-lo daquele que provavelmente está impresso no seu roteador.

Use Autenticação de chave privada em SSH . (Também tenha muito cuidado aqui)

Espero que cubra a maior parte do que você deseja. É muito para trabalhar; então não posso explicar como usar tudo aqui.

Ferramentas embutidas: (precisa fazer o download do Ubuntu)

1 .O novo dispositivo ficou online na minha LAN (basicamente acessou meu WiFi)

ifconfig -a

2 . Falha de tentativas de autenticação no meu PC ( fail2ban )

apt-get install fail2ban
cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
nano /etc/fail2ban/jail.local

precisa adicionar linhas abaixo com o seu serviço

bantime = 600
findtime = 600
maxretry = 3

por exemplo, falha na autenticação:

[ssh]

enabled  = true
port     = ssh
filter   = sshd
logpath  = /var/log/auth.log
maxretry = 3

fail2ban também tem serviço de notificação por e-mail.

destemail = root@localhost
sendername = Fail2Ban
mta = sendmail

3 .Alguma coisa ou algo digitalizando as portas do meu PC (comando útil)

netstat -an (to see which port are open and connected to other network)

iftop (monitorando a largura de banda da LAN, rede WLAN)

apt-get install iftop
iftop

Em seguida, pressione p (porta) e n (DNS). uma vez que você sabe uma vez em qual tráfego de porta está vindo de ip desconhecido. você pode bloquear esse ip com o firewall ufw.

ufw deny from 192.x.x.x 

Para verificar se alguém está verificando a porta:

netstat -an e iftop

se a saída do comando acima for longa e a conexão estiver vindo do mesmo ip em várias portas.

5 .Meu PC estava logado (então seria bom ter os últimos 10 comandos emitidos)

history

lhe dará o último comando de 2K usado (se o usuário for o mesmo)

OR

Para ver o comando de outro usuário usado (por exemplo, usuário = teste)

su test
history

comando acima precisa de sudo ou privilégio de root.

Software usado para monitorar o sistema linux:

Nagios: link

Splunk: link

Zabbix: link

Todas as ferramentas acima têm serviço de notificação por e-mail (altamente personalizável)

Atualização:

Notifique o usuário lgoin via e-mail: link

nano /etc/profile

if [ -n "$SSH_CLIENT" ]; then
TEXT="$(date): ssh login to ${USER}@$(hostname -f)"
TEXT="$TEXT from $(echo $SSH_CLIENT|awk '{print }')" 
echo $TEXT|mail -s "ssh login" [email protected]
fi