R
rabadag
Mitglied
Hallo Forum.
Zuerst mal bin neu hier und freue mich auf eure
hilfe und hoffe ihr könnt mir behilflich sein.
Leider kenn ich mich mit Scripten oder perl nicht aus und versuche ein script zu bauen aber ohne hilfe werde ich das nie hinkriegen.
Also was ist sache.
1. logs auswerten auf merere bestimmte erreignisse Live Graping (tail) überwachen z.b auth.log, ftp.log, mainlog, ereignis "Failet Password"
oder merere definierbare Zeichenfolgen.
2. Stimmt ein Erreignis überrein, "IP" oder frei devinierbar in ein log schreiben.
da muss ein zähler miteingebaut sein der dan die versuche raufzahlt 0-xx
3. ist der Zähler höcher als z.b 10 Eintrag mit anderem Log vergleichen.
z.b "IP" auth.log "IP" auth.log Server2 via NFS oder Logsys.
oder das logfile von desem server Agenten
4. Ist das errgebnis des vergleichs = true dan mache.. Ban IP für bestimmte Zeit.
5. Wen Ban Zeit abläuft einträge wieder entfernen.
nun der clue der ganzen sache.
Das script soll auf jedem Server Funktioniren und seine ergebnisse mit deren anderen vergleichen. (Mit Schwellwerten)
Wenn eine IP oder bestimmte Zeichenfolge übereinstimmt soll dementsprechend gehandelt werden.
Das Heist, das Script muss via Externen Postgress Server einen bestimmten Eintrag vornehmen, den er auch wider löschen kann.
Meine sorge gilt den ständig wachsenden angriffen auf diverse dienste der server. Sicher ist alles noch ok und man verwendet auch sichere passwörter.
aber wie mann ja weis giebt es immer irgenwo ein loch das erst gefunden werden muss. deshalb will ich da einen rigel vorschiben und angriffe sofort netzwerkweit blocken. Es werden 3 Zentralle Firewall verwendet und intern kann ich keine IPSEC oder IPTABLES verwenden. Und da das Ganze Zentrall wäre ist auch das überwachen einfach falls mal ne falsche IP geblockt wird.
Eventuel giebt es ja schon was fertiges hab aber leider nichts passendes gefunden.
Kann mir da jemand unter die arme greifen ?
Zuerst mal bin neu hier und freue mich auf eure
hilfe und hoffe ihr könnt mir behilflich sein.
Leider kenn ich mich mit Scripten oder perl nicht aus und versuche ein script zu bauen aber ohne hilfe werde ich das nie hinkriegen.
Also was ist sache.
1. logs auswerten auf merere bestimmte erreignisse Live Graping (tail) überwachen z.b auth.log, ftp.log, mainlog, ereignis "Failet Password"
oder merere definierbare Zeichenfolgen.
2. Stimmt ein Erreignis überrein, "IP" oder frei devinierbar in ein log schreiben.
da muss ein zähler miteingebaut sein der dan die versuche raufzahlt 0-xx
3. ist der Zähler höcher als z.b 10 Eintrag mit anderem Log vergleichen.
z.b "IP" auth.log "IP" auth.log Server2 via NFS oder Logsys.
oder das logfile von desem server Agenten
4. Ist das errgebnis des vergleichs = true dan mache.. Ban IP für bestimmte Zeit.
5. Wen Ban Zeit abläuft einträge wieder entfernen.
nun der clue der ganzen sache.
Das script soll auf jedem Server Funktioniren und seine ergebnisse mit deren anderen vergleichen. (Mit Schwellwerten)
Wenn eine IP oder bestimmte Zeichenfolge übereinstimmt soll dementsprechend gehandelt werden.
Das Heist, das Script muss via Externen Postgress Server einen bestimmten Eintrag vornehmen, den er auch wider löschen kann.
Meine sorge gilt den ständig wachsenden angriffen auf diverse dienste der server. Sicher ist alles noch ok und man verwendet auch sichere passwörter.
aber wie mann ja weis giebt es immer irgenwo ein loch das erst gefunden werden muss. deshalb will ich da einen rigel vorschiben und angriffe sofort netzwerkweit blocken. Es werden 3 Zentralle Firewall verwendet und intern kann ich keine IPSEC oder IPTABLES verwenden. Und da das Ganze Zentrall wäre ist auch das überwachen einfach falls mal ne falsche IP geblockt wird.
Eventuel giebt es ja schon was fertiges hab aber leider nichts passendes gefunden.
Kann mir da jemand unter die arme greifen ?