murattkarateke/linux-security-monitoring-lab

# 🔐 Linux 安全实验室 ## 🚀 概述 (EN) 本项目演示了真实的 Linux 安全操作，包括 SSH 暴力破解攻击模拟、日志分析和自动入侵防御。 该实验室复现了攻击者的行为，并展示了如何使用行业标准工具检测、分析和缓解未经授权的访问。 ## 🚀 项目概览 (TR) Bu proje, gerçek dünya senaryolarına yakın şekilde Linux güvenliği, SSH brute-force saldırı simülasyonu, log analizi ve otomatik saldırı engelleme süreçlerini göstermektedir. Saldırgan davranışı simüle edilerek sistem üzerinde nasıl tespit ve önleme yapılacağı gösterilmiştir. ## 🏆 主要成就 - 检测到多次 SSH 暴力破解攻击尝试 - 通过日志分析识别出攻击者 IP 地址 - 实施 Fail2Ban 以自动封锁恶意 IP - 保护 SSH 访问免受未授权登录尝试 ## 🏆 主要成就 - SSH brute-force saldırıları başarıyla tespit edildi - Log analizi ile saldırgan IP adresleri belirlendi - Fail2Ban ile otomatik IP engelleme sistemi kuruldu - SSH erişimi güvenli hale getirildi ## 🌍 真实世界影响 本项目模拟了真实的攻击场景，并展示了系统管理员如何检测和防止 Linux 服务器上的未授权访问。 ## 🌍 现实世界影响 Bu proje, gerçek dünya saldırı senaryolarını simüle ederek Linux sunucularda yetkisiz erişimin nasıl tespit ve engellendiğini göstermektedir. ## 🛠️ 使用技术 - Ubuntu Server (AWS EC2) - OpenSSH - Fail2Ban - Nmap - Linux CLI ## 🧪 实验步骤 1. 通过 SSH 连接到远程 Linux 服务器 2. 使用 Nmap 执行端口扫描 3. 模拟暴力破解登录尝试 4. 分析 /var/log/auth.log 中的失败登录记录 5. 提取攻击者 IP 地址 6. 配置 Fail2Ban 以拦截恶意活动 ## ⚔️ 攻击模拟 ### EN 模拟了暴力破解 SSH 登录尝试，以生成失败的登录日志。 bash id="f0l3y7" ssh fakeuser@ ### TR Başarısız giriş logları oluşturmak için SSH brute-force saldırı denemeleri simüle edilmiştir. bash id="3f7h2v" ssh fakeuser@ ## 🔍 日志分析 bash id="w6g8y1" sudo grep "Failed password" /var/log/auth.log 提取攻击者 IP 地址： bash id="2j7m4s" sudo grep "Failed password" /var/log/auth.log | awk '{print $11}' | sort | uniq -c | sort -nr ### 输出示例 bash id="9d1h3k" Failed password for invalid user fakeuser from 192.168.x.x port xxxx ssh2 ## 🛡️ 入侵防御 (Fail2Ban) bash id="8p4k1q" sudo apt install fail2ban -y sudo systemctl start fail2ban sudo fail2ban-client status sshd ### ⚙️ Fail2Ban 配置 bash id="7m2z9c" [sshd] enabled = true port = 22 filter = sshd logpath = /var/log/auth.log maxretry = 5 bantime = 600 ### EN 配置为在多次失败尝试后自动封禁 IP。 ### TR Belirli sayıda başarısız giriş sonrası IP’leri otomatik engelleyecek şekilde yapılandırıldı. ## 🌐 网络扫描 bash id="3x9v8l" nmap -p 22,80,443 ## 📊 结果 ### EN - 检测到 30 次以上失败登录尝试 - 识别出多个攻击者 IP 地址 - 自动封禁了 8 个 IP 地址 ### TR - 30+ başarısız giriş denemesi tespit edildi - Birden fazla saldırgan IP adresi belirlendi - 8 IP otomatik olarak engellendi ## 🔍 日志分析示例 | Log Analizi Örneği bash id="u3c8ax" cat /var/log/auth.log | grep "Failed password" ## 📊 可疑活动 | Şüpheli Aktivite bash id="4qz2y1" Failed password for invalid user admin from 192.168.1.101 port 22 ssh2 Failed password for root from 192.168.1.101 port 22 ssh2 ## 🧠 检测逻辑 | Tespit Mantığı ### 🇬🇧 英文 - 在 /var/log/auth.log 中检测到多次失败的 SSH 登录尝试 - 观察到来自同一源 IP 地址的重复身份验证失败 - 该模式表明存在潜在的暴力破解攻击 - 已标记该行为以采取进一步的防御措施 ### 🇹🇷 土耳其语 - /var/log/auth.log içinde çoklu başarısız SSH giriş denemeleri tespit edildi - Aynı IP adresinden tekrar eden başarısız girişler gözlemlendi - Bu davranış brute force saldırı ihtimalini göstermektedir - İleri savunma aksiyonları için işaretlendi ## 🎯 结果 | Sonuç ### 🇬🇧 英文 - 成功识别可疑 IP - 通过日志分析识别出攻击模式 - 系统已准备好进行防御响应（例如，Fail2Ban） ### 🇹🇷 土耳其语 - Şüpheli IP başarıyla tespit edildi - Log analizi ile saldırı paterni belirlendi - Sistem savunma aksiyonlarına hazır hale getirildi (örneğin Fail2Ban) ## 🧠 项目价值 | Proje Değeri ### 🇬🇧 英文 本项目演示了： - 实用的日志分析技能 - 使用系统日志进行威胁检测 - 对攻击模式的理解 - 安全监控思维 ### 🇹🇷 土耳其语 Bu proje aşağıdaki konularda yetkinlik kazandırır: - Pratik log analizi becerisi - Sistem logları ile tehdit tespiti - Saldırı paternlerini anlama - Güvenlik izleme bakışı ## 📸 截图 这些截图提供了真实攻击模拟和防御机制的证据。 Bu ekran görüntüleri gerçek dünya saldırı simülasyonu ve savunma mekanizmalarını göstermektedir. ### 🔐 SSH 连接 SSH 连接 ### 🌐 Nmap 扫描 Nmap 扫描 ### 🚨 攻击日志 攻击日志 ### 🛡️ Fail2Ban 保护 Fail2Ban ## 🧠 获得的技能 ### EN - 日志分析与调查 - SSH 安全加固 - 入侵检测与防御 - 蓝队基础 ### TR - Log analizi ve inceleme - SSH güvenliği - Saldırı tespiti ve engelleme - Blue Team temelleri ## ⚠️ 局限性 ### EN - 模拟是在受控的实验室环境中进行的 - 仅限于基于 SSH 的攻击 - 不是完整的 SIEM 解决方案 ### TR - Kontrollü bir lab ortamında yapılmıştır - Sadece SSH saldırılarına odaklanır - Tam kapsamlı bir SIEM çözümü değildir ## 🚀 未来改进 ### EN - 集成实时日志监控和告警 - 开发基于 Python 的日志解析器 - 将检测范围扩展到基于 Web 的攻击 ### TR - Gerçek zamanlı log izleme ve alarm sistemi ekleme - Python ile log analiz scripti geliştirme - Web saldırılarını kapsayacak şekilde genişletme ## 🔗 项目链接 GitHub: https://github.com/murattkarateke/linux-security-lab ## 👤 作者 **Murat Karateke

标签：AWS EC2, BurpSuite集成, CTI, Fail2Ban, IP封禁, Linux CLI, Nmap, OpenSSH, PoC, SSH安全, Ubuntu Server, Web安全, 云服务器安全, 安全实验室, 插件系统, 攻击模拟, 数据统计, 暴力破解, 端口扫描, 系统加固, 系统运维, 网络安全, 网络攻防, 自动化防护, 蓝队分析, 虚拟驱动器, 隐私保护, 驱动签名利用