Premessa: La sicurezza informatica è fondamentale ogni qualvolta i sistemi informatici vengono utilizzati per la gestione di proprietà intellettuali o più genericamente informazioni, che hanno un valore per il proprietario. Questo decalogo è importante sia per chi si occupa della gestione dei sistemi informatici di un’azienda sia per un generico utilizzatore, ad esempio una utenza domestica.
Splunk è un software per la ricerca, il monitoraggio e l’analisi di file di log, tramite una interfaccia web.
Quando il numero di dispositivi nella rete aziendale inizia a crescere, il monitoraggio diventa complesso. Per facilitare la gestione dei dispositivi esistono diverse tecnologie. Una delle più utilizzate è il protocollo SYSLOG.
Rsyslog è un software opensource per la gestione dei messaggi in formato syslog. Oltre al protocollo syslog, gestisce altri protocolli e altre tipologie di messaggio. Per il monitoraggio esistono tool a linea di comando o tool grafici.
In questi giorni stavo ricevendo su diversi server attacchi di tipo “brute force” su SSH. Per risolvere il problema ho deciso di utilizzare fail2ban. E’ scritto in python e funziona su tutti i sistemi linux dove è installato iptables.
Questo è il sito web ufficiale:
Questa utile applicazione effettua una scansione del file di log ad esempio /var/log/apache/error_log e utilizzando iptables blocca tutti gli ip dai quali provengono attacchi o operazioni non autorizzate