В заметке AWStats прикручиваем анализатор логов для статистики приведен пример по настройке awstat для Apache, под определенный веб-сайт,но awstats умеет просматривать логи не только web,но ftp и mail.

Вот сейчас разберем пример логов для FTP-сервера на базе VsFTPd.

И изменяем следующие параметры:

# путь до log файла
LogFile="/var/log/vsftpd.log"
# F - For a ftp log file
LogType=F
LogFormat="%time3 %other %host %bytesd %url %other %other %method %other %logname %other %code %other %other"
LogSeparator="\s"

далее ...

Вот попался скрипт для проверки на пинг, для определения доступность удаленного компьютера или сайта, думаю может пригодиться многим для дальнейшей модернизации.

#

!/bin/sh
# -q quiet
# -c nb of pings to perform
ping -q -c5 google.com > /dev/null
if [ $? -eq 0 ]
then
echo "ok"
fi

Я так его немного переделал под свои нужды,работает без проблем

Как проверить Linux-сервер на предмет взлома, если закрались какие либо подозрения.

Но сразу скажу что все зависит от квалификации злоумышленника и значимости ресурса.

По крайне мере думаю,что для многих это будет полезно и познавательно. Для начало сканируем с другого хоста что у нас открыто из подозрительных открытых портов, при помощи утилиты nmap:

Starting Nmap 5.21 ( http://nmap.org )
Nmap scan report for host (XXX.XXX.XXX.XXX)
Host is up (0.0066s latency).
Not shown: 65499 closed ports
PORT STATE SERVICE
21/tcp open ftp
80/tcp open http
111/tcp open rpcbind
443/tcp open https
1723/tcp open pptp
... ...

далее ...

Утилита LogWatch анализирует log файлы системы по различным критериям с возможность составления отчёта и отправки его по почте. Утилита построена на модульном принципе, и анализирует не все, а лишь те сервисы, которые указаны в настройках.Более того, можно и самому писать модули для анализа нужных логов. В общем – вещь, полезная.

Ставим:

Теперь переделываем конфиг себя:

# Папка с логами по умолчанию
LogDir = /var/log/
# Папка для временных файлов, или указываем свою или создаем эту, так как она ни создается
TmpDir = /var/cache/logwatch

далее ...

#Output/Format Options
#By default Logwatch will print to stdout in text with no encoding.
#To make email Default set Output = mail to save to file set Output = file
Output = stdout
#To make Html the default formatting Format = html
# В каком формате выводить данные, можно text или html
Format = html
#To make Base64 [aka uuencode] Encode = base64
Encode = none
# Кому будем отсылать уведомление. Можно указать локального
# пользователя, можно просто e-mail адрес.
# Если у вас не настроена почта для root имеет смысл указать необходимый адрес полностью
MailTo = root
# Здесь можно указать дополнительные адреса, на которые будут
# отсылаться уведомления
# Mailto_host1 = xxxxxx@localhost
# Имя отправителя письма
MailFrom = logwatch
# Указывает либо печатать вывод в консоль (YES) либо отправлять отчёт на почту (NO)
Print = No
# Можно сохранить файл отчета, указываешь путь на сервере при необходимости
# Save = /tmp/logwatch-mail
# Использовать ли архивы
# (к примеру /var/log/messages.1 или /var/log/messages.1.gz)
# Если отчёт генериться за одни день нет смысла включать эту опцию.
# Также эта опция зависит от режима ротации логов в системе
# Archives = No
# Указывает период за который составляется отчёт (All, Today, Yesterday)
Range = yesterday
# Уровень детализации отчёта
# Low = 0
# Med = 5
# High = 10
Detail = High
# Собирать ли информацию в всех сервисах, данные о которых лежат в папке
# /usr/share/logwatch/scripts/services/ или только по определенному (например ftpd)
Service = All

# Дополнительно можно исключить определенные сервисы из набора для анализа
Service = "-zz-network" # Prevents execution of zz-network service, which
# prints useful network configuration info.
Service = "-zz-sys" # Prevents execution of zz-sys service, which
# prints useful system configuration info.
Service = "-eximstats" # Prevents execution of eximstats service, which
# is a wrapper for the eximstats program.
# If you only cared about FTP messages, you could use these 2 lines
# instead of the above:
# Service = ftpd-messages # Processes ftpd messages in /var/log/messages
# Service = ftpd-xferlog # Processes ftpd messages in /var/log/xferlog
# Maybe you only wanted reports on PAM messages, then you would use:
# Service = pam_pwdb # PAM_pwdb messages - usually quite a bit
# Service = pam # General PAM messages... usually not many
# Аналогично, можно читать только определенные лог-файлы
# LogFile = messages
# например только /var/log/messages.
# Почтовая программа по умолчанию. Обычно используется
# sendmail или просто mail
mailer = "/usr/bin/mail"
#
# Собирать логи только с этого хоста. Имеет смысл, если на машине
# хранятся не только ее собственные логи
# HostLimit = Yes

При установке утилита прописывает себя в /etc/cron.daily/00logwatch и будет запускаться каждый день. Идем в nano /etc/cron.daily/00logwatch и заремливаем все и добавляем одну строчку:

#execute
/usr/share/logwatch/scripts/logwatch.pl --mailto Электронный@адрес

Настройка VPN сервера Windows 2003

Во общем на дня решил разобрать свою файлопомойку/докопомойку - папку "Мусор", куда кидалось все несколько лет подряд, ибо делать было нечего, а руки очень чесались, на глаза попался мне файл описывающий настройку VPN сервера Windows 2003,как подымать в Ubuntu и Debian я описывал в заметке Настройка PPTP в Debian/Ubuntu сервера и клиента, а тут может кому и пригодиться для Windows.

Настройка VPN сервера Windows 2003

PPTP-сервер для защищенного подключения клиентов может быть настроен только на серверных версиях Windows 2000/2003.

Он настраивается как сервер удаленного доступа (RAS-сервер) в службе RRAS (Маршрутизация и удаленный доступ). Эта справка предназначена для опытных пользователей.

I. Создание VPN сервера.

1. Откройте службу "Маршрутизация и удаленный доступ" и зайдите в свойства сервера.

далее ...

2. Выставите параметр "локальной сети и вызова по требованию", а также "сервер удаленного доступа" см.рис.

3. Зайдите во вкладку "IP", выберите название внутреннего адаптера и создайте статический пул адресов отличного от внутреннего который будет присваиваться VPN клиентам.

Кнопка "Добавить"см.рис.

4. Далее во вкладке "PPP" снимите галку с "Многоканальные подключения"-это ускорит работу Интернета.

5. Во вкладке "Журнал событий" выставите параметр "вести журнал всех событий"

II. Конфигурация портов

1.Зайдите в свойства "Порты". По умолчанию RRAS создаст 5 "PPTP" , 5 "L2TP" и 1 "Прямой параллельный". Для стабильной работы сервера рекомендуется удалить ненужные порты (прямой параллельный, L2TP, и.т.д.) и создать необходимое количество портов, их должно быть больше чем одновременных подключений.

2. Удаляем порты WAN(L2TP)

3. Выставите необходимое число PPTP портов (число портов должно быть больше чем планируемых одновременных подключений), см.рис

4. В итоге у Вас появится следующие окно см.рис

III. Конфигурируем NAT.

1. Зайдите в "IP-маршрутизация" / "NAT-преобразование сетевых адресов".Если Вы собираетесь предоставлять доступ только по VPN соединению тогда удалите внутренний интерфейс, если нет тогда оставьте.

2. Далее вам надо добавить RAS интерфейс для этого в командной строке наберите "netsh routing ip nat add interface Внутренний (в английской версии windows " internal") private" см.рис. Кроме того очень полезно запретить привязку NetBios к интерфейсу Внутренний (internal),если он активен (см. выше). Это важно,если используется RAS-сервер для подключения диалапных клиентов (модемы или VPN) и поможет избавится от некоторых проблем при работе сервера в сети Windows. Если NetBios разрешен на этом интерфейсе, то сервер будет регистрировать свои NetBios-имена с IP-адресами всех интерфейсов, на которые есть привязка этой службы.Появление IP- адреса интерфейса Внутренний (internal) в этих регистрациях может привести к проблемам.

Для этого редактором реестра в разделе HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRemoteAccessParametersIp добавляем параметр DisableNetbiosOverTcpip типа DWORD и значением 1. Службу надо перезапустить.

3. Автоматически появится RAS интерфейс см.рис, зайдите

IV. Создание клиентов.

1. Зайдите в "Управление компьютером",далее в "Локальные пользователи и группы", "Пользователи"

2. Создайте пользователя,далее зайдите во вкладку "Входящие звонки".

3. Разрешите ему доступ в пункте "Разрешение на удаленный доступ (VPN или модем)",этот пользователь будет тестовым, для других желательно указать их IP адрес в пункте "Статический IP-адрес пользователя"

V. Настройка VPN соединения.

1. В группе "Политика удаленного доступа"зайдите в свойства "Разрешить доступ,если разрешены входящие подключения"

2. Нажмите на кнопку "Изменить профиль..."

3. Зайдите во вкладку "Проверка подлинности"

4. Оставьте два параметра проверки подлинности MS-CHAP для ОС Windows и CHAP для других ОС см.рис.

5. Далее зайдите на вкладку "Шифрование",выберите параметры шифрования. Все произведенные настройки должны быть идентичны, при настройке VPN соединения у клиентов.

Перезапустите сервер.

Обсудить