UNIX – *BSD – GNU/Linux
Seguimos configurando nuestra infraestructura SIRP Open source (https://red-orbita.com/?p=8726) En esta ocasión veremos como integrar Kaspersky Security Center para la detección de amenazas con Wazuh y Thehive
Antes de nada, tenemos que ir a la consola de Kaspersky Security Center > Configurar las notificaciones y la exportación de eventos > Configuración exportación a SIEM (Mas información)
Auditd Se encarga de realizar un seguimiento de todo lo que va sucediendo en nuestro sistema GNU/Linux, en el cual va recopilando eventos sobre reglas pre-configuradas.
En esta entrada veremos como integrar Auditd con wazuh para así poder generar ciertas alertas.
Leer másEn anteriores entradas vimos como Bloquear ataques fuerza bruta con Wazuh o Bloquear ataques web con Wazuh
en este caso, veremos como integrar las alertas cuando se produzca un bloqueo con TheHive.
En anteriores entradas vimos como bloquear ataques de fuerza bruta con wazuh
En este post, veremos cómo bloquear un ataques web usando la funcionalidad de active response en Wazuh.
Active Response de wazuh ejecuta comandos en los agentes en respuesta de ciertas alertas. En este ejemplo, veremos como bloquear un ataque de fuerza bruta.
Leer másAnteriormente ya vimos como realizar un redimensionamiento de volumenes LVM en los cuales tenia particiones (https://red-orbita.com/?p=7519), en dicho manual creábamos una nueva partición y esta partición la agregábamos al volumen.
En esta ocasión realizaremos un resize de la partición física para la ampliación del volumen.
Leer másTomcat es uno de los servidores web mas utilizados para implementares aplicaciones en Java. En muchas ocasiones por necesidades no es posible la eliminación de este servicio dado que se realizan proceso de automatización mediante el.
Una de las formas más fáciles de permitir denegar el acceso es a través del filtro de RemoteAddrValve, Está configuración la podemos realizar en el archivo de context.xml de la aplicación manager
Leer másEn esta entrada veremos como configurar el direccionamiento IP estático bajo FreeBSD
Lo primero que necesitamos es identificar la tarjeta de red, para ello realizaremos un ifconfig:
ifconfig
vmx0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=60039b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,TSO4,TSO6,RXCSUM_IPV6,TXCSUM_IPV6>
ether 00:50:56:97:aa:2d
hwaddr 00:50:56:97:aa:2d
nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
media: Ethernet autoselect
status: active
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
options=600003<RXCSUM,TXCSUM,RXCSUM_IPV6,TXCSUM_IPV6>
inet6 ::1 prefixlen 128
inet6 fe80::1%lo0 prefixlen 64 scopeid 0x2
inet 127.0.0.1 netmask 0xff000000
nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
groups: loEn esta entrada veremos como resetear la contraseña de root utilizando single-user cuando nuestro servidor esta montado bajo ZFS.
Para iniciar en modo single-user reiniciamos el servidor y presionamos la tecla 2
En este post, veremos cómo bloquear un ataque usando la funcionanlidad de active response en Wazuh.
Active Response de wazuh ejecuta comandos en los agentes en respuesta de ciertas alertas. En este ejemplo, veremos como bloquear un ataque de fuerza bruta.
Toda esta configuración se realizara en /var/ossec/etc/ossec.conf dentro de Wazuh Manager. En primer lugar tenemos que revisar en dicho archivo si tenemos los siguientes comandos activados
Leer másEn esta entrada vamos a ver como ampliar un LVM en GNU/Linux en AWS.
Lo primero será identificar el disco que queramos ampliar, ya que AWS puede tener un nombre distinto al que le asigna el sistema.
En este caso el lvm «lv_hana_shared» es llamado por AWS /dev/sdf y por Linux /dev/nvme1n1
Para sacar el identificador que nos dará la correspondencia hacemos lo siguiente:
buscar en /dev/disk/by-id/ el nombre que nos da Linux, y nos saldrá un id (simular a: 01bfa6181f750d212 ) que es el que en la web de AWS nos mostrará.
Leer más