Home
Notificaciones de seguridad CSF/LFD – Alojamiento –

Notificaciones de seguridad CSF/LFD – Alojamiento –

No Comments Conocimiento

ConfigServer Security & Firewall (CSF) es una aplicación de seguridad, firewall, detección de intrusiones/inicio de sesión (Stateful Packet Inspection) (SPI) para servidores Linux proporcionada por ConfigServer.

Login Failure Daemon (LFD) es un proceso de demonio que se ejecuta en nuestros servidores y que utiliza CSF para la seguridad del servidor.

CSF y LFD vienen preinstalados en nuestros servidores con cPanel y ofrecen muchas funciones útiles para garantizar la seguridad del servidor.

En caso de que aún no esté instalado, puede encontrar información sobre cómo trabajar con el complemento CSF.

Uno de los muchos beneficios de CSF y LFD es que le brindan varias notificaciones para ayudarlo a realizar un seguimiento de los eventos importantes que tienen lugar en su servidor. Tenga en cuenta que estas notificaciones solo aparecen si tiene un VPS o un servidor dedicado.

Comencemos con un tipo de notificación que probablemente enfrentará con frecuencia. LFD tiene una función para observar los procesos en ejecución y ver si están utilizando demasiados recursos. Para algunos de estos recursos, incluso puedes configurar cuánto cuenta como demasiado. En algunos casos, si un proceso utiliza más recursos de los esperados, esto puede indicar un problema de seguridad. Incluso si no es así, se debe investigar para comprobar si hay algo mal configurado o no, lo que puede causar problemas de carga en el servidor.

De forma predeterminada, estas notificaciones tienen este aspecto:

De: raíz
A raíz
Asunto: lfd on: Uso excesivo de recursos: ()

Tiempo:
Cuenta:
Recurso:
Excedido:
Ejecutable:
Línea de comando:
PID:
Delicado:

  • root en las líneas Desde: y Hasta: generalmente se reemplazan por root@
  • se reemplaza por el nombre de host del servidor
  • es reemplazado por el usuario el proceso en cuestión se está ejecutando bajo

Con esta característica en particular, lo más probable es que encuentre falsos positivos. El propósito de esta función es llamar su atención sobre los procesos que se han estado ejecutando durante mucho tiempo en una cuenta de usuario, cuáles están consumiendo mucha memoria o los puertos que permanecen abiertos fuera de su servidor.

A continuación se muestra un ejemplo de alerta por correo electrónico de LFD cuando:

Hora: lunes 14 de noviembre 09:41:10 2016 +0530
Cuenta: xxxxxx
Recurso: Tamaño de la memoria virtual
Superado: 205 > 200 (MB)
Ejecutable: /usr/bin/php
Línea de comando: /usr/bin/php /home/xxxxxx/public_html/index.php
PID: 26953 (PID principal: 24974)
Eliminado: NoEsta alerta la envía LFD cuando un proceso utiliza más recursos de memoria que los definidos en el archivo de configuración CSF.

A continuación se muestra un ejemplo de alerta por correo electrónico de LFD cuando:

Hora: lunes 14 de noviembre 09:41:10 2016 +0530
Cuenta: xxxxxx
Recurso: Tamaño de la memoria virtual
Superado: 125389 > 1800 (segundos)
Ejecutable: /usr/bin/php
Línea de comando: /usr/bin/php /home/xxxxxx/public_html/index.php
PID: 28429 (PID principal: 26561)
Eliminado: NoEsta alerta la envía LFD cuando un proceso tarda más en ejecutarse que el definido en el archivo de configuración de CSF.

A veces, es posible que reciba muchos correos electrónicos de alerta sobre el uso de recursos y desee desactivarlos. Asegúrese de verificar que efectivamente sean falsos positivos antes de ignorarlos o deshabilitarlos.

See also  Registro de Dominio .info | Compre .info Nuevo gTLD por $3.48

Para recibir dichas notificaciones, vaya a WHM >> Sección Complementos >> ConfigServer Security & Firewall.

Ahora proceda a CSF >> Configuración del firewall.

Allí, busque los parámetros PT_USERMEM y PT_USERTIME y cambie sus valores a 0.

Esto deshabilitará las notificaciones por completo, ya que estos parámetros definen el umbral después del cual se enviarán las notificaciones. Sin embargo, recomendamos encarecidamente mantenerlos habilitados para que pueda verificar si se espera que ese proceso en particular utilice esa cantidad de recursos asignados.
Es posible que sienta que los valores predeterminados son demasiado bajos y que lo inundan con notificaciones sobre procesos válidos, por lo que es posible que desee cambiar PT_USERMEM y PT_USERTIME a los valores que considere más apropiados.

Una vez que haya hecho esto, desplácese hacia abajo y haga clic en el botón Cambiar.

En la página siguiente, verá los cambios guardados. Deberías reiniciar tanto csf como lfd. mensaje. Haga clic en Reiniciar csf+lfd y se guardarán los cambios.

También hay una lista de ignorados en /etc/csf/csf.pignore que se puede usar para incluir nombres de usuario en la lista blanca o rutas completas a archivos binarios. Se debe utilizar el siguiente formato en el archivo:

exe:/ruta/completa/al/archivo
usuario: nombre de usuario
cmd: línea de comando
El archivo se puede editar a través de SSH utilizando el editor de su elección.

Una vez realizados los cambios, debe recargar CSF y reiniciar LFD usando el siguiente comando SSH:

csf -r o service lfd restartLFD tiene una función para verificar cambios en ciertos archivos del sistema. Esto ayuda a detectar archivos comprometidos pero también le envía una alerta cada vez que estos archivos sean modificados por actualizaciones legítimas del sistema. Si no está seguro de por qué se cambian estos archivos, es importante verificar los registros del servidor para determinar si los cambios son los resultados esperados de actualizaciones/otros cambios intencionales o si hay un archivo comprometido que debe solucionarse.
Estas notificaciones solo se envían una vez y, en la mayoría de los casos, se activan mediante una actualización del sistema. En este caso, no es necesaria ninguna otra acción por su parte.

De forma predeterminada, estas notificaciones se ven así: De: raíz
A raíz
Asunto: lfd activado: La comprobación de integridad del sistema detectó un archivo de sistema modificado

Tiempo:

La siguiente lista de archivos FALLÓ la prueba de comparación md5sum. Esto significa que el archivo ha sido modificado de alguna manera. Esto podría ser el resultado de una actualización del sistema operativo o de una aplicación. Si el cambio es inesperado, se debe investigar.

  • root en las líneas Desde: y Hasta: generalmente se reemplaza por root@
  • se reemplaza por el nombre de host del servidor
  • se reemplaza por el momento en que se detectaron los cambios
  • es reemplazado por alguna información sobre los cambios detectados

Los archivos de registro de actualizaciones del sistema cPanel se almacenan en /var/cpanel/updatelogs.

Recomendamos mantener habilitados este tipo de notificaciones para que pueda investigar todos los cambios inesperados lo antes posible. Aún así, si deseas desactivar estas notificaciones, puedes hacerlo de la siguiente manera:

Vaya a WHM >> Complementos >> ConfigServer Security & Firewall.

See also  Creador de logotipos aeroespaciales: cree un logotipo con ideas de logotipos aeroespaciales

Luego, proceda a CSF >> Configuración del firewall.

Allí, busque el parámetro LF_INTEGRITY y establezca su valor en 0.

Una vez que haya hecho esto, desplácese hacia abajo y haga clic en el botón Cambiar.

En la página siguiente, verá los cambios guardados. Deberías reiniciar tanto csf como lfd. mensaje. Haga clic en Reiniciar csf+lfd y se guardarán los cambios.

La opción Seguimiento de procesos permite el seguimiento de los procesos del usuario y de nadie y los examina en busca de archivos ejecutables sospechosos o puertos de red abiertos (por ejemplo, si se está ejecutando desde un archivo ejecutable eliminado o si tiene conexiones de red abiertas). Su propósito es identificar procesos potencialmente explotadores que se ejecutan en el servidor, incluso si están ocultos para que aparezcan como servicios del sistema.

De forma predeterminada, estas notificaciones tienen este aspecto:

De: raíz
A raíz
Asunto: lfd on: proceso sospechoso ejecutándose bajo el usuario

Tiempo:
PID:
Cuenta:
Tiempo de actividad: segundos

Ejecutable:

Línea de comando (a menudo falsificada en exploits):

Conexiones de red por proceso (si las hubiera):

Archivos abiertos por el proceso (si los hay):

Mapas de memoria del proceso (si los hay):

  • root en las líneas Desde: y Hasta: generalmente se reemplazan por root@
  • se reemplaza por el nombre de host del servidor
  • es reemplazado por el usuario bajo el cual se ejecuta el proceso
  • se reemplaza por el momento en que el proceso fue detectado como sospechoso
  • se reemplaza por el ID de proceso del proceso
  • se reemplaza cuando el proceso ha estado ejecutándose durante
  • se reemplaza por el archivo ejecutable desde el que se ejecuta el proceso
  • se reemplaza por el comando de línea de comando asociado con el proceso
  • ID reemplazado por información sobre cualquier conexión de red que el proceso haya abierto
  • ID reemplazado por una lista de archivos que el proceso tiene abiertos
  • ID reemplazado por una lista de mapas de memoria que el proceso tiene abiertos

Te recomendamos mantener habilitados este tipo de notificaciones para que puedas comprobar si el proceso es realmente sospechoso o no.

Si aún deseas desactivar estas notificaciones, puedes hacerlo de la siguiente manera:

Vaya a WHM >> sección Complementos >> ConfigServer Security & Firewall.

Luego, proceda a CSF >> Configuración del firewall.

Allí encontrará el parámetro PT_LIMIT. Establezca su valor en 0.

Una vez que haya hecho esto, desplácese hacia abajo y haga clic en el botón Cambiar.

En la página siguiente, verá los cambios guardados. Deberías reiniciar tanto csf como lfd. mensaje. Haga clic en Reiniciar csf+lfd y se guardarán los cambios.

También puede agregar un archivo ejecutable o una ruta de línea de comando al archivo /etc/csf/csf.pignore.
El archivo se puede editar a través de SSH utilizando el editor de su elección.

Una vez realizados los cambios en el archivo, debe recargar CSF y reiniciar LFD usando el siguiente comando:

csf -r o service lfd restartCSF/LFD bloquea automáticamente las direcciones IP por ciertos motivos configurables. De forma predeterminada, cada vez que el sistema bloquea una dirección IP, le enviará un correo electrónico para informarle qué IP se bloqueó y por qué.

See also  /myaccount/signup/

Veamos cómo se ven algunas de estas notificaciones de forma predeterminada:

Errores de inicio de sesión:
De: raíz
A raíz
Asunto: lfd encendido: bloqueado

Tiempo:
IP:
Fallos:
Intervalo: segundos
Obstruido:

Entradas de registro:

  • root en las líneas Desde: y Hasta: generalmente se reemplazan por root@
  • se reemplaza por el nombre de host del servidor
  • es reemplazada por la IP bloqueada

El mensaje en sí incluye la hora en que se envió la notificación, la dirección IP que fue bloqueada, cuántas veces esa dirección IP falló la regla de activación respectiva, durante cuánto tiempo la dirección IP estará bloqueada y si la dirección IP fue temporal o no. bloqueado permanentemente.

Por ejemplo, si la dirección IP fue bloqueada permanentemente, se enviará la siguiente notificación:

De: raíz
A raíz
Asunto: lfd activado: bloqueado permanentemente

Tiempo:
IP:
Bloqueos Temporales:

Bloqueos temporales que desencadenaron el bloqueo permanente:

  • root en las líneas Desde: y Hasta: generalmente se reemplazan por root@
  • se reemplaza por el nombre de host del servidor
  • es reemplazada por la IP bloqueada

El mensaje también contiene información sobre la hora en que se creó el bloqueo permanente y la cantidad de bloqueos temporales activados.

Le recomendamos que primero mantenga dichas notificaciones habilitadas para asegurarse de que el firewall esté configurado correctamente, bloqueando solo las direcciones IP que desea bloquear. Una vez que hayas confirmado que todo está bien, es posible que desees desactivar este tipo de notificaciones para que tu buzón no se inunde con demasiados correos electrónicos ni te distraiga de los más útiles.

Para habilitar dichas notificaciones, haga lo siguiente:

Vaya a WHM >> sección Complementos >> ConfigServer Security & Firewall.

Ahora proceda a CSF >> Configuración del firewall.

Aquí verá los siguientes parámetros:

  • LF_EMAIL_ALERT: envía una alerta por correo electrónico si uno de los activadores bloquea una dirección IP.
  • LF_PERMBLOCK_ALERT: envía una alerta por correo electrónico si una dirección IP está bloqueada permanentemente. Esto sucede si la dirección IP se ha bloqueado temporalmente más de unas cuantas veces (para configurar, use LF_PERMBLOCK_COUNT).
  • LF_NETBLOCK_ALERT: envía una alerta por correo electrónico si se bloqueó una clase de red IP (las condiciones de dichos bloques se pueden configurar editando los parámetros adyacentes).
  • LF_DISTFTP_ALERT: envía una alerta por correo electrónico si se activa LF_DISTFTP. La opción LF_DISTFTP realizará un seguimiento de todos los inicios de sesión FTP exitosos.
  • Bloquea todas las IP sospechosas de estar involucradas en un ataque distribuido FTP. Puedes configurarlo editando los parámetros en la sección Ataques distribuidos.
  • LF_DISTSMTP_ALERT: envía una alerta por correo electrónico si se activa LF_DISTSMTP. Se aplica el mismo escenario que el anterior, pero para SMTP.
  • LT_EMAIL_ALERT: envía una alerta por correo electrónico si la cuenta excede un cierto número de inicios de sesión por hora por IP…

Related posts:

  1. Instalación de un certificado SSL en IIS 8 y 10 – Alojamiento –
  2. Registro de Dominio .rip | Compre un nuevo gTLD .rip por $19,98
  3. Cómo conectar un dominio a MailChimp – Dominios –
  4. Registro de Dominio .nyc | Comprar nombre de dominio .nyc

Related Posts

Loading Facebook Comments ...
Loading Disqus Comments ...