Gracias al plugin tail de Collectd podemos crear un sencillo dashboard de seguridad en Grafana en el que poder ver el número total de sesiones, intentos fallidos de login SSH, bloqueos de fail2ban y número de requests bloqueadas por mod_security. Este plugin nos permite parsear un log para alimentar métricas -en este caso contadores- que… Leer más »
Lo tenía pendiente desde que monté el stack ELK con Metricbeat para sacar métricas de mis máquinas. Ahora le toca el turno a Auditbeat. En este artículo no voy a comentar cómo instalar todos los componentes ELK, eso está ya escrito en el anterior post que he enlazado. Simplemente me voy a centrar en Auditbeat.
Existen diversas casuísticas en la exclusión de reglas de mod_security. Un procedimiento habitual suele ser limitar el ámbito de exclusión a un determinado contexto en el que por diversas razones estamos obteniendo falsos positivos de una serie de reglas problemáticas, ejemplo: Suponemos que dicha directiva excluiría las reglas 920320, 942200, 942330, 942430 y 980130 para… Leer más »
Logrotate necesita pocas presentaciones ya que es una herramienta clásica para el rotado de logs en nuestro sistema. Podemos configurarla conjuntamente con GPG de una manera sencilla para cifrar y proteger los logs rotados y que sólo puedan ser accesibles por personal autorizado en posesión de la clave de descifrado correspondiente.
Las herramientas audit y psacct/acct son de gran utilidad para tener controlado qué ocurre en nuestro sistema: qué usuarios han entrado a la máquina, acciones realizadas, procesos lanzados, etc… Aunque por el nombre puedan parecer lo mismo no lo son: Audit mediante un componente integrado como subsistema del Kernel Linux se encarga de capturar las… Leer más »
AIDE (Advanced Intrustion Detection Environment) es un detector de intrusiones basado en comprobación de integridad de ficheros. En términos simples, esta herramienta crea una base de datos con el hash de nuestros ficheros y posteriormente se comprueba si dicho hash ha cambiado, pudiendo detectar de esta manera modificaciones no autorizadas en nuestro sistema.