Se você leva a sério a segurança de seus servidores e desktops, sabe como é importante estar atento a comportamentos maliciosos. Esta pode ser uma tarefa full time. Assim, se você tiver muitas máquinas, seu trabalho se torna quase impossível. Felizmente, há várias ferramentas úteis disponíveis, que ajudam muito a aliviar esse fardo. Uma dessas ferramentas é Maltrail. Veja aqui como instalar e executar o Maltrail no Ubuntu Server 18.04.
O que é Maltrail
O Maltrail é um sistema de detecção de tráfego malicioso que utiliza listas negras publicamente disponíveis. Igualmente, ele pega vários relatórios AV e listas definidas pelo usuário para ajudar a descobrir ameaças desconhecidas. Assim, monitora o tráfego dessas listas. O Maltrail é executado a partir da linha de comando, mas inclui uma interface da Web prática (e opcional).
Veja como instalar o Maltrail no Ubuntu Server 18.04 e, em seguida, adicionar a interface web para facilitar a detecção de tráfego malicioso.
Instalar e executar o Maltrail no Ubuntu Server 18.04
Para atualizar seu servidor Ubuntu, abra uma janela de terminal e digite os comandos:
sudo apt-get update sudo apt-get upgrade
Depois disso, reinicie o servidor (se necessário). Agora você está pronto para instalar.
Instalação
Primeiro, precisamos cuidar de algumas dependências. Na janela do terminal, digite o comando:
sudo apt-get install git python-pcapy python-setuptools
Depois que terminar, é hora de clonar Maltrail. Isso é feito com o comando:
git clone https://github.com/stamparm/maltrail.git
Mude para o diretório maltrail recém-criado e inicie o sensor com o comando:
python sensor.py
Isto irá baixar todas as listas necessárias para Maltrail e executar o serviço. No entanto, você não poderá acessar a interface baseada na web. Por quê? Embora o serviço esteja em execução, o servidor não está. Faça o login no servidor de hospedagem uma segunda vez (provavelmente usando o SSH). Depois, mude para o diretório maltrail clonado e emita o comando:
python server.py
Neste ponto, o serviço e o servidor estão em execução.
Notícias Relacionadas
A interface web
Abra um navegador da Web e digite http: // SERVER_IP: 8338 (em que SERVER_IP é o endereço IP do servidor que hospeda o Maltrail). Você deve ser solicitado a efetuar login na interface da Web do Maltrail ( Figura A ).
Figura A
Login na web do Maltrail.
As credenciais padrão são admin/changeme! Para mudar isso, digite o comando:
sudo nano mailtrail/maltrai.conf
Nesse arquivo, você verá as linhas:
USERS admin:RANDOM_STRING_OF_CHARACTERS changeme!
Você não pode simplesmente alterar a senha do usuário admin. Você precisa adicionar um novo usuário e criar uma senha sha256 com o comando (executado como o usuário que você deseja adicionar):
echo -n 'PASSWORD' | sha256sum | cut -d " " -f 1
onde PASSWORD é uma senha forte para o usuário.
Esse comando gerará uma longa seqüência de caracteres. Copie essa string e cole na seção USERS do arquivo de configuração da seguinte forma:
USERNAME:RANDOM_STRING_OF_CHARACTERS:0:0.0.0.0/0
USERNAME é o nome de usuário a ser adicionado e RANDOM_STRING_OF_CHARACTERS é a string que você copiou da saída do comando echo. Salve e feche esse arquivo. Reinicie o serviço/servidor do Maltrails e você poderá efetuar login com o novo usuário. Uma vez que você tenha logado com sucesso com esse usuário, você pode excluir o usuário admin do arquivo de configuração (por questões de segurança).
Levará algum tempo para a Maltrail registrar eventos. Quando isso acontecer, ele aparecerá na interface da Web ( Figura B ) e você poderá agir de acordo.
Figura B
Maltrails registrou um evento!
Pronto
Embora o Maltrail não seja a ferramenta mais simples de executar e usar, ele é um meio prático de detectar eventos mal-intencionados em seus servidores Linux. Portanto, experimente e veja se consegue fazer com que funcione bem para as suas necessidades.
