Установка Linux Socket Monitor (LSM) на CentOS 6.4

Published by Leave your thoughts

Вступление

В очень широком смысле сокеты (sockets) используются приложениями для обмена данными с другими приложениями. Когда речь идет о связи по сетям (внутренним или внешним), главные принципы выполнения задачи остаются теми же, и сокеты используются для обмена информацией.

Данная статья рассматривает повышение безопасности системы путем повышения уровня её мониторинга. Также речь пойдет об установке Linux Socket Monitor, который посылает сигналы при создании нового сокета, что потенциально является сигналом вторжения неизвестного приложения.

Работа сокетов, портов и соединений

Приложения, созданные для работы в сети (к примеру, в Интернете), в зависимости от их роли должны быть привязаны к определенным портам для осуществления обмена данными через расстояние с помощью информационных соединений.

Если приложение запущено успешно, оно получает сокет, привязанный к номеру порта (который в основном определяется по сетевому адресу – по IP), протокол (то есть, язык информационного обмена) и номер порта (к примеру, 80), который прослушивает входящие запросы на подключение.

Клиенты на другой стороне линии состоят из приложений (например, Firefox веб-браузер), отправляющих запрос на установление соединения или (впоследствии) отправку и получение данных от приложений сервера.

В завершение, отправленные клиентами запросы по достижении целевого приложения проходят определенные процедуры в зависимости от используемого протокола (и установленных правил). Если сервер принимает запрос, то между этими двумя сторонами может быть установлено соединение через сокеты – новое соединение, с которым как клиент, так и сервер связаны индивидуально, то есть сервер в то же время может продолжать прослушивать остальные входящие запросы.

Определение потенциальной угрозы

Сокеты – это двунаправленные объекты, используемые для обмена данными между сторонами, которые совместно используют установленное соединение.  Если открывается новый порт или неожиданно создается сокет, это значит, что есть приложение, готовое прослушивать и принимать команды через входящие на хост, на котором оно находится, запросы на выполнение, в зависимости от присвоенных ему прав.  Если это выполняется нежелательным или проникнувшим на хост приложением, очень важно срочно устранить это, а мониторинг сокетов поможет быстро это обнаружить.

Приложение Linux Socket Monitor

Что такое Linux Socket Monitor?

Linux Socket Monitor (LSM) – это инструмент мониторинга, отслеживающий изменения портов и сокетов (как сетевых, так и межпроцессных (IPC), используемых приложениями на одной машине) путем сравнения созданных ним быстрых копий – автоматически (по умолчанию) или же по указанию пользователя.

Оно использует инструмент cron для планирования сканирований через определенные интервалы времени (по умолчанию, каждые 10 минут) и проверяет используемые порты/сокеты. Если приложение замечает какие-либо изменения, оно отправляет пользователю оповещение по электронной почте.

Как работает Linux Socket Monitor?

На самом деле Linux Socket Monitor – это очень умный и компактный bash-скрипт. Чтобы его скачать, установить и запустить мониторинг, нужны две команды. При первой установке данный инструмент сканирует текущие порты и сокеты, чтобы создать базовый файл сравнения – снимок данной сети. Он требует небольшой дополнительной настройки – нужно  ввести ​​адрес электронной почты пользователя, чтобы приложение могло отправлять ему оповещения. Готово!

Установка Linux Socket Monitor

Последняя версия LSM находится на веб-сайте разработчика:

http://www.rfxn.com/downloads/lsm-current.tar.gz

Чтобы скачать архив (tar, tarball) запустите следующую команду:

wget http://www.rfxn.com/downloads/lsm-current.tar.gz

Это скачает архив в текущую папку.

Теперь нужно извлечь содержимое tarball:

tar -xvfz lsm-current.tar.gz

Теперь все готово для установки LSM путем запуска скрипта инсталляции.

Войдите в каталог и запустите установку:

$ cd lsm-0.6
$ ./install.sh

После завершения быстрой установки будет представлен краткий обзор самого приложения, а также уведомление о том, что базовые файлы сравнения были созданы; это выглядит примерно так:

.: LSM installed
Install path:    /usr/local/lsm
Config path:     /usr/local/lsm/conf.lsm
Executable path: /usr/local/sbin/lsm
LSM version 0.6 <lsm@r-fx.org>
Copyright (C) 2004, R-fx Networks
2004, Ryan MacDonald
This program may be freely redistributed under the terms of the GNU GPL
generated base comparison files

В завершение нужно отредактировать конфигурационный файл.

Откройте конфигурационный файл LSM при помощи редактора nano:

nano /usr/local/lsm/conf.lsm

Здесь будет выведен достаточно длинный список значений, необходимых для работы LSM. Нужно отредактировать третье значение (USER=»root»), что находится после закомментированной части, расположенной вначале.

Используя клавиши со стрелками, найдите данную строку и замените root своим адресом электронной почты.

Пример:

USER="system.alerts@mydomain.com"             # ..

При необходимости изменить предметную строку извещений (электронных писем) по умолчанию можно отредактировать следующую строку документа.

Чтобы изменить предметную строку электронных писем, отредактируйте:

SUB="LSM Port Monitor Alert on $HOSTNAME"     # ..

установив предмет по своему усмотрению. Убедитесь, что $HOSTNAME не было изменено, данное значение содержит имя хоста данной машины (это очень полезно, если используется несколько машин).

Готово!

Использование Linux Socket Monitor

Сразу же после установки LSM создает копию текущих портов и сокетов, а также настраивает работу cron, чтобы запускаться каждые 10 минут.

Файлы сравнения можно удалить или восстановить в любой момент при помощи двух команд:

  • Удалить файл сравнения:/usr/local/sbin/lsm -d
  • Запустить тест сравнения вручную:/usr/local/sbin/lsm -c

Чтобы восстановить файл:

/usr/local/sbin/lsm -g

Примечание: для отправки писем из данной системы необходимо установить почтовый агент пользователя. Если такого приложения пока нет, существует огромное количество вариантов, которые можно установить.

Tags: , , , , , ,

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *


*

Можно использовать следующие HTML-теги и атрибуты: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>