FreeBSD или Debian на прокси.

>самопальный скрипт который парсит логи и банит тех кто борзеет

Ну зачем самопальный? http://sshguard.sourceforge.net/. В Дебиане даже в пакетах есть (правда, не в stable).

что ты под ids подразумеваешь? И какую задачу они решают при условии что все обновления на тачке установлены?

Под IDS я подразумеваю прежде всего сниффер + некую систему анализа. В принципе, сниффер можно заменить логами фаервола или отдельных сетевых приложений.

Система анализа должна выявлять портсканы и попытки кастования сплойтов, а также (в порядке бонусов) может еще детектить всякие досы и брутфорсы.

Основные задачи IDS в моем понимании:
1. Создать дополнительный рубеж защиты от зараженных машин и кульхацкеров. Об этом я уже писал.
2. По возможности выявить активность более опасных противников. Отфтуболивать их на лету уже не получится, так хотя бы примерно представлять, что вообще происходит.
Для решения второй задачи в IDS можно также включить honeypots - имитаторы работающих сетевых приложений, позволяющие выявить направления активности атакующей стороны.

Установленные обновления это, конечно, хорошо, но 0-day сплойтов никто не отменял (это уже по части второй задачи, у школьников 0d обычно нет). Да и команды безопасности дистрибутивов работают порою весьма неторопливо. Иногда лучше перебдеть, чем недобдеть.

от 0-day ids не поможет потому что она с существующими атаками борется. Если уж у кого-то есть zeroday то распределённо прощупать твою сеть он сможет.

Поэтому тут лучше всего помогяют всякие selinux-ы.

И именно поэтому у меня максимум что стоит на сервере это парочка автобанов от слишком наглых юзеров. Ну и apparmor, но щас он по определённым причинам отключён.

Всё остальное на сервер нафиг не нужно, имхо. И репорты с графиками я никакие не генерю потому что серваков много хотя бы потому что читать по каждому это ппц, а сводная это как средняя температура по больнице. Некоторые любят статистику типа "за прошедшие сутки сервер успешно отклонил 10тыщ атак". Имхо это мастурбация.

Единственное что иногда напрягает так это ддосы забивающие канал.

>от 0-day ids не поможет потому что она с существующими атаками борется

Я уже говорил, что 0-day относится ко второй задаче. Особенно актуально удаленное логгирование IDS. Потому что если на сервере начнется что-то странное, то возможность посмотреть, кто и как до этого им интересовался, будет явно не лишней.

>Некоторые любят статистику типа "за прошедшие сутки сервер успешно отклонил 10тыщ атак". Имхо это мастурбация.

Зависит от сервака. Если это домашний сервер Васи Пупкина или рядовая хостинговая лошадка, тогда да. Слишком много мусора и слишком мала вероятность серьезной атаки. Да и потребность в железных яйцах тоже невысока.

А вот если это сервак, скажем, Ведомства, Чье Имя Нельзя Называть... :) Или скажем, очень-очень серьезный сервак коммерческой фирмы. Не веб-сервер, конечно. Какой-нибудь важный информационный сервис "для своих". VPN, например. Или просто гейт к особо важной db-шке.

> А вот если это сервак, скажем, Ведомства, Чье Имя Нельзя Называть...

И что же применяют там? snort ? :).

А кто вам сказал что я там работаю? ;)

>iZEN, ты так и не привёл ситуации когда пакет приходит не на тот интерфейс. И, на сколько я понимаю, бридж успешно решает эту проблему, я прав?

Я уже привёл решение этой проблемы — для антиспуффинга (именно так называется механизм неправомерного перенаправления ответного пакета на другой интерфейс путём подмены информации об адресе источника в заголовке исходящего IP-пакета) есть соответствующее правило в PF, и такие ситуации отслеживаются.

По применению PF прочтите лучше статью: http://www.lissyara.su/?id=1833

А, понял. Ну тогда значит эта проблема в линухе решается сисктлькой.