|
Maltrail是一种恶意流量检测系统,Maltrail基于流量->传感器<->服务器<->客户端体系结构。本文介绍在Linux上配置Maltrail的方法,以Debian 10 (Buster)版本为例。
步骤1:更新和升级服务器 先更新和升级您的服务器,请运行以下命令: sudo apt update && sudo apt update 参考:在Debian/Ubuntu系统上手动安装安全更新的三种方法。
步骤2:安装Maltrail传感器和schedtool 传感器是在监视节点上或在独立计算机上运行的独立组件,在该计算机上,它监视列入黑名单的项目的通过流量,通过运行以下命令进行安装。 1、安装“schedtool”以更好地进行CPU调度 schedtool有助于更好的CPU调度: sudo apt-get install schedtool 以下将安装git和python-pcapy,从Maltrail GitHub页面提取文件,然后安装: sudo apt-get install git python-pcapy -y git clone https://github.com/stamparm/maltrail.git cd maltrail sudo python sensor.py & 在执行最后一条命令后,您将在下载和更新与恶意流量相关的Maltrail列表时看到如下所示的内容。 2、克隆git文件
3、下载和更新与恶意流量相关的Maltrail列表
步骤3:在同一台计算机上启动服务器(可选) 服务器的主要作用是存储事件详细信息,并为报告Web应用程序提供后端支持,在默认配置中,服务器和传感器将在同一台计算机上运行,要在同一台计算机上启动服务器,请运行以下命令: [[ -d maltrail ]] || git clone https://github.com/stamparm/maltrail.git cd maltrail python server.py &
您可以通过键入http://<ip or FQDN>:8338来访问其Web用户界面,默认帐户为用户名:admin,密码:changeme!。
步骤4:微调传感器和服务器配置 对于那些希望微调其服务器和传感器配置的用户,这里有一个文件可供您执行,只需进入克隆了maltrail的目录,然后查找“maltrail.conf”: sudo vim /home/tech/maltrail/maltrail.conf 在文件内,您会在方括号内找到各种类别,对于服务器,请查找#[Server],对于传感器设置,请查找#[Sensor]类别,例如,让我们更改您希望服务器监听的默认IP: #[Server] #Listen address of (reporting) HTTP server HTTP_ADDRESS 172.17.196.57 #HTTP_ADDRESS :: #HTTP_ADDRESS fe80::12c3:7bff:fe6d:cf9b%eno1 #Listen port of (reporting) HTTP server HTTP_PORT 8338 #Use SSL/TLS USE_SSL false #SSL/TLS (private/cert) PEM file (e.g. openssl req -new -x509 -keyout server.pem -out server.pem -days 1023 -nodes) #SSL_PEM misc/server.pem #User entries (username:sha256(password):UID:filter_netmask(s)) #Note(s): sha256(password) can be generated on Linux with: echo -n 'password' | sha256sum | cut -d " " -f 1 #UID >= 1000 have only rights to display results (Note: this moment only functionality implemented at the client side) #filter_netmask(s) is/are used to filter results USERS admin:9ab3cd9d67bf49d01f6a2e33d0bd9bc804ddbe6ce1ff5d219c42624851db5dbc:0: # changeme! #local:9ab3cd9d67bf49d01f6a2e33d0bd9bc804ddbe6ce1ff5d219c42624851db5dbc:1000:192.168.0.0/16 # changeme! 要更改默认密码,请查找“USERS”,在它的下面,您会注意到admin和代表密码的长字符串,要创建新密码,请使用以下命令,它应该产生一个类似于我们在文件中看到的字符串,在此之前,您可以放置任何用户名,在密码末尾,不要忘记添加参数(:0:): echo -n 'StrongPassword' | sha256sum | cut -d " " -f 1 05a181f00c157f70413d33701778a6ee7d2747ac18b9c0fbb8bd71a62dd7a223 The string produced represents StrongPassword as the password 打开相同的文件并对其进行编辑以设置新的帐户,运行sudo vim /home/tech/maltrail/maltrail.conf: #[Server] #Listen address of (reporting) HTTP server HTTP_ADDRESS 172.17.196.57 #HTTP_ADDRESS :: #HTTP_ADDRESS fe80::12c3:7bff:fe6d:cf9b%eno1 #Listen port of (reporting) HTTP server HTTP_PORT 8338 #Use SSL/TLS USE_SSL false #SSL/TLS (private/cert) PEM file (e.g. openssl req -new -x509 -keyout server.pem -out server.pem -days 1023 -nodes) #SSL_PEM misc/server.pem #User entries (username:sha256(password):UID:filter_netmask(s)) #Note(s): sha256(password) can be generated on Linux with: echo -n 'password' | sha256sum | cut -d " " -f 1 #UID >= 1000 have only rights to display results (Note: this moment only functionality implemented at the client side) #filter_netmask(s) is/are used to filter results #filter_netmask(s) is/are used to filter results USERS #admin:9ab3cd9d67bf49d01f6a2e33d0bd9bc804ddbe6ce1ff5d219c42624851db5dbc:0: # changeme! #local:9ab3cd9d67bf49d01f6a2e33d0bd9bc804ddbe6ce1ff5d219c42624851db5dbc:1000:192.168.0.0/16 # changeme! Admin:05a181f00c157f70413d33701778a6ee7d2747ac18b9c0fbb8bd71a62dd7a223:0: ## New credentials 进行这些更改后,请启动和停止Maltrail: cd /home/tech/maltrail pkill -f server.py python server.py &
步骤5:测试一切是否正常运行 要测试一切正常并运行,请执行以下操作: ping -c 1 136.161.101.53 cat /var/log/maltrail/$(date +"%Y-%m-%d").log 另外,要测试捕获DNS流量,您可以尝试以下操作: nslookup morphed.ru cat /var/log/maltrail/$(date +"%Y-%m-%d").log 要查看Web界面上的请求,只需刷新该页面,您将获得与以下插图类似的内容:
结语 Maltrail是一个很棒的工具,可以真正增强您的网络监控并始终保持基础结构的安全,即使不能保证100%的安全性,缓解总是可以胜任的。
相关主题 |
