Target: Centralizzazione degli eventi di sistema, rilevamento delle intrusioni in tempo reale e analisi forense.
::: info
L'analisi dei log è l'ultimo strato del modello Defense in Depth. Se un attaccante riesce a bypassare il firewall e l'MFA, la sua attività deve essere rilevata dai log di sistema. Monitorare significa trasformare dati grezzi in Security Intelligence.
:::
In un ambiente professionale o in un laboratorio evoluto, non analizziamo i log su ogni singolo nodo. Implementiamo una centralizzazione per avere una visione olistica.
- Log Gathering: Ogni macchina (Mac Pro, Laptop, VM) invia i log a un server centrale via Syslog (UDP/514).
- Log Storage: Utilizzo di database indicizzati (es. Elasticsearch o Loki) per ricerche rapide.
- Dashboarding: Visualizzazione dei tentativi di accesso e del traffico anomalo (es. Grafana).
Un ingegnere deve filtrare il "rumore" e concentrarsi sui segnali di compromissione (IoC - Indicators of Compromise).
| Sorgente |
Evento Critico |
Rischio |
SSH (auth.log) |
Failed password ripetuti. |
Attacco Brute-force / Dictionary. |
Nginx (access.log) |
404 massivi o SQL injection patterns. |
Vulnerability scanning / Web exploit. |
| Proxmox |
Modifiche a configurazioni hardware VM. |
Escalation di privilegi / Persistenza. |
| Home Assistant |
Login da IP geograficamente insoliti. |
Account Takeover. |
Oltre al già citato Fail2Ban, ti suggerisco l'uso di CrowdSec per un approccio moderno e collaborativo.
- Funzionamento: Analizza i log, identifica comportamenti malevoli e applica rimedi (banning) a livello di Firewall.
- Vantaggio: Condivide gli IP malevoli con una rete globale (Crowdsourced Threat Intelligence), bloccando preventivamente gli attaccanti che hanno già colpito altri utenti.
graph TD
EV[Evento: Login Fallito] --> LOG[Scrittura Log Locale]
LOG --> AGENT[Log Shipper: Vector / Promtail]
AGENT --> CENT[Central Log Server: Loki / Syslog]
CENT --> ANALYZE{Analyzer: CrowdSec / Script}
ANALYZE -- Pattern Malevolo --> ALERT[Notifica: Home Assistant / Telegram]
ANALYZE -- Pattern Malevolo --> BLOCK[Azione: IP Ban Firewall]
style BLOCK fill:#f66,color:#fff
style ALERT fill:#f96,color:#fff
Usa Home Assistant come terminale per le notifiche di sicurezza critiche.
Esempio di automazione (concettuale):
- Il server Linux rileva un accesso
root via SSH.
- Invia un evento via Webhook a Home Assistant.
- Home Assistant invia una notifica push sul tuo smartphone: "⚠️ Accesso SSH rilevato sul nodo Proxmox-01!".
- Log Rotation: Assicurati che la rotazione dei log sia configurata correttamente (visto nel modulo Docker). Un attacco DoS basato sul riempimento del disco tramite log eccessivi è una minaccia reale.
- NTP (Time Sync): In informatica forense, il tempo è tutto. Assicurati che tutti i tuoi nodi siano sincronizzati via NTP. Log con timestamp sfasati rendono impossibile ricostruire la cronologia di un attacco.
- Principio di Integrità: Se un attaccante ottiene i privilegi di root, la sua prima azione sarà cancellare i log (
rm -rf /var/log/*). Per questo i log devono essere inviati istantaneamente a un server esterno.
Tags: #CyberSecurity #Logging #Monitoring #SIEM #CrowdSec #Syslog #Forensics*