Comments 11
Полезно, но как понял, это только для винды, не? )
А что даст IDS на VPS сервере?
Его надо ставить где-то между роутером и внутренней сетью. По хорошему - на самом роутере надо ставить)
Теоретически этот Maltrail можно поставить на некоторые модели микротика. На те которые поддерживают докер.
У меня как-то был роутер Synology на котором стояла IDS/IPS Suricata. Уж не знаю КАК они ее смогли туда впихнуть, но она реально работала)
В контексте статьи мы рассматриваем изолированный одиночный VPS как самодостаточную "крепость". На таком сервере нет "внутренней сети" в привычном понимании (по крайней мере, по умолчанию), и сам VPS является точкой входа/выхода в интернет. В этом случае, установка IDS (Maltrail в данном случае) непосредственно на VPS становится нашим "роутером" и "границей" одновременно, позволяя мониторить трафик на той единственной точке, которая и является нашим цифровым периметром. Что же дает этот IDS? начиная от мониторинга исходящего трафика порой даже обнаружение специфичных атак на веб сервисы по типу всякого рода sql инъекций и обращении к веб шеллу также для понимания веб активности пет проектов и небольших серверов
Привожу текст из репы:
User has to enter the proper credentials that have been set by the server's administrator inside the configuration file maltrail.conf (Note: default credentials are admin:changeme!):
Думаю что стоит войти внутрь контейнера и поменять данные в этом конфиге, без докера с этим проще.
https://github.com/stamparm/maltrail/tree/master/docker
Тут видно что он подтягивает этот конфиг файл, его стоит изменить.
Крепость под наблюдением: ставим Maltrail и ловим «шпионов» (Часть 2)