Moin!
Ich hätte gerne Infos dazu, was mein Server tut (Web, Mail, Datenbank, Sonstiges...). Und zwar keine 200 Seiten am Tag, aber trotzdem eine - angesichts der Schwierigkeit dieser Aufgabe für einen "doofen Computer" - möglichst gute Chance, beim Überfliegen seltsame / verdächtige Sachen zu sehen.
Vielleicht irgendwie so...:
Output / logs von mehreren Quellen (log Dateien, lsof chronjob, firewall logs, apache access logs, postfix logs, chkrootkit... alles mögliche...) in eine Datei umleiten. "Spam-Filter" darüber jagen - irgendwas, dass ähnlich / bereits gemeldete Beiträge ausfiltert oder mir alle paar Stunden diejenigen gibt, die sowohl gegenüber der direkten "Konkurrenz" auch als gegenüber älteren, bereits "gemeldeten" Zeilen am "einzigartigsten" sind. Mit solche Kriterien wie z.B. Prozessname, belauschte Ports, verbindung zu /von hostnamen... seltsame neue post-requests an welche Domain auch immer... und so.
Ich hoffe, das vermittelt eine ungefähre Vorstellung davon, was ich meine. Gibt es dafür eine bereits eine "fertige chaotische Lösung" oder was kommt vom Einsatzzweck her am nächsten dran?
Danke!
"fuzzy notifications / logs" für Allround-Server?
-
Six
- Beiträge: 8071
- Registriert: 21.12.2001 13:39:28
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Siegburg
Re: "fuzzy notifications / logs" für Allround-Server?
Debian bietet einen ganzen Stapel an Log-Analyzern, z. B. das gute alte Logcheck oder lire. Wenn du es etwas persönlicher haben willst, dann schreibe eigene Regeln für rsyslogd -- der ist sehr vielseitig.
Be seeing you!
Re: "fuzzy notifications / logs" für Allround-Server?
Danke für den Hinweis!
Ich habe jetzt erst einmal "harden" installiert, das vermutlich alles Notwendige als empfohlene Pakete hat. "Tiger" und die "Logmailer" sehen bis jetzt ganz hübsch aus... Als nächstes schaue ich dann, ob ich nicht vielleicht noch ein paar "handgeschmiedete" logdateien erstellen lassen kann mit chaotischem Zeug (lsof, top, ...), je nachdem was fehlt.
Weitere Tips dazu, wie sich das Verhältnis von überflüssigen Benachrichtigungen zu potentiell interessanten Sachen noch verbessern lässt, wären an der Stelle auch klasse!
Ich habe jetzt erst einmal "harden" installiert, das vermutlich alles Notwendige als empfohlene Pakete hat. "Tiger" und die "Logmailer" sehen bis jetzt ganz hübsch aus... Als nächstes schaue ich dann, ob ich nicht vielleicht noch ein paar "handgeschmiedete" logdateien erstellen lassen kann mit chaotischem Zeug (lsof, top, ...), je nachdem was fehlt.
Weitere Tips dazu, wie sich das Verhältnis von überflüssigen Benachrichtigungen zu potentiell interessanten Sachen noch verbessern lässt, wären an der Stelle auch klasse!
Re: "fuzzy notifications / logs" für Allround-Server?
Als erstes habe ich logcheck ausprobiert... da scheint es leider keine Möglichkeit zu geben, ganze Ordner oder Dateien `a la "/var/log/apa*/*er*log" anzugeben oder diese ist nicht dokumentiert.Kennt jemand eine bessere Alternative?
"Tiger" ist bis jetzt mein Favorit... auch wenn ich mich beim "assistierten hardening" schon ein paarmal so arg selbst ausgesperrt habe, dass ich ein Backup wiederherstellen musste (billiger Vserver zum Testen halt - man weiß nie so genau, welche "seltsamen Sicherheitslücken" das Ding braucht, damit der Host es booten kann
).
Die Standard-Wahl "Tripwire" gefällt mir aber fast garnicht (die Methode mit den 2 Passwörtern ist nicht schlecht), weil...:
- Es sich über nicht vorhandene Dateien / Ordner zu laut beschwert. Dass sie im Moment nicht existieren heißt ja nicht, dass sie einfach heimlich jemand anders anlegen darf ohne dass sie überwacht werden
- Die Liste ist "doof" anzupassen.
Auch da wäre es schön, wenn jemand Erfahrungen mit einer angemesseneren Alternative hat.
Wie ich eine Kombination dieser Programme dazu bringe, einen chronjob-lsof-dump schön auszuwerten (mit alten vergleichen, doppelte / ähnliche Zeilen streichen...) oder ob es etwas gibt das besser geeignet ist, daran bin ich noch am werkeln.
"Tiger" ist bis jetzt mein Favorit... auch wenn ich mich beim "assistierten hardening" schon ein paarmal so arg selbst ausgesperrt habe, dass ich ein Backup wiederherstellen musste (billiger Vserver zum Testen halt - man weiß nie so genau, welche "seltsamen Sicherheitslücken" das Ding braucht, damit der Host es booten kann
).Die Standard-Wahl "Tripwire" gefällt mir aber fast garnicht (die Methode mit den 2 Passwörtern ist nicht schlecht), weil...:
- Es sich über nicht vorhandene Dateien / Ordner zu laut beschwert. Dass sie im Moment nicht existieren heißt ja nicht, dass sie einfach heimlich jemand anders anlegen darf ohne dass sie überwacht werden
- Die Liste ist "doof" anzupassen.
Auch da wäre es schön, wenn jemand Erfahrungen mit einer angemesseneren Alternative hat.
Wie ich eine Kombination dieser Programme dazu bringe, einen chronjob-lsof-dump schön auszuwerten (mit alten vergleichen, doppelte / ähnliche Zeilen streichen...) oder ob es etwas gibt das besser geeignet ist, daran bin ich noch am werkeln.