Linux sistemlerinde saldırı tespiti için daha detaylı bir yaklaşım şu adımları içerir:
Log Dosyalarını İnceleme:
/var/log/
dizini altında genellikle şu log dosyalarını inceleyebilirsiniz:
auth.log
: Yetkilendirme ve oturum açma ile ilgili bilgileri içerir.syslog
veya messages
: Sistem olaylarını, hataları ve uyarıları kaydeder.secure
veya auth.log
: SSH oturumları ve güvenlik ile ilgili bilgileri içerir.Güvenlik Yazılımları Kullanma:
Network Monitoring Araçları:
Güvenlik Açıkları ve Zafiyetlerin İzlenmesi:
Güvenlik İmzaları ve IPS/IDS Sistemleri:
Log Analiz ve SIEM Çözümleri:
Güvenlik Politikaları ve İzleme Süreçleri:
Bu adımları detaylı olarak takip ederek Linux sistemlerinizde saldırıları tespit edebilir ve güvenlik önlemleri alabilirsiniz. Ancak, her adımda dikkatli olmanız ve güvenlik uzmanlarından destek almanız önemlidir.
Linux sistemlerinde saldırı tespiti için kullanılabilecek bir Bash script örneği aşağıdaki gibidir. Bu script, belirli bir log dosyasını (örneğin auth.log) inceleyerek başarısız giriş denemelerini izleyecek ve belirli bir sayıda (örneğin 3) başarısız giriş denemesi yapıldığında ilgili IP adresini engelleyecektir.
# Log dosyası yolunu belirtin (örneğin, auth.log)
LOG_FILE="/var/log/auth.log"
# Başarısız giriş denemesi sayısı
FAIL_LIMIT=3
# Engellenme süresi (saniye cinsinden)
BLOCK_TIME=600 # 10 dakika
# Log dosyasını izleme ve başarısız giriş denemelerini kontrol etme
tail -n0 -F "$LOG_FILE" | while read LINE
do
if [[ "$LINE" == *"authentication failure"* ]]; then
IP=$(echo "$LINE" | awk '{print $(NF-3)}')
COUNT=$(grep "$IP" "$LOG_FILE" | grep "authentication failure" | wc -l)
if [ $COUNT -ge $FAIL_LIMIT ]; then
echo "IP $IP $FAIL_LIMIT defa başarısız giriş denemesi yaptı. Engelleniyor..."
iptables -A INPUT -s "$IP" -j DROP
sleep $BLOCK_TIME
iptables -D INPUT -s "$IP" -j DROP
echo "IP $IP engel kaldırıldı."
fi
fi
done
Bu script, belirli bir log dosyasını izleyecek ve herhangi bir "authentication failure" ifadesi içeren satırları kontrol edecektir. Eğer bir IP adresi, belirli bir süre içinde (scriptte FAIL_LIMIT
ve BLOCK_TIME
olarak belirlenen değerlere göre) belirli bir sayıda başarısız giriş denemesi yaparsa, o IP adresini otomatik olarak engelleyecektir.
Scripti çalıştırmadan önce izinlerini düzgün şekilde ayarlayarak çalıştırabilirsiniz. Ayrıca, scriptin doğru çalışması için kullanılan log dosyasını ve engelleme işlemlerinde kullanılan firewall (örneğin iptables) kurallarını kontrol etmelisiniz. Bu scripti kullanırken dikkatli olun ve gerektiğinde güvenlik politikalarınıza uygun şekilde özelleştirin.