Web 伺服器安全、入侵檢測和文件完整性
我想在一些執行 PHP 和 Apache 的 linux 網路伺服器上添加某種類型的跟踪/警報。
在進行搜尋時,我發現了 2006-2009 年的很多資訊。想重新審視事情,看看其他人現在在做什麼。
這裡的主要目的是跟踪任何文件何時發生更改,如果發生更改以某種方式提醒我。IDS 也是如此,希望可以駐留在同一台伺服器上的東西?由於其中一些是小型項目,我更喜歡真正有效的開源/免費解決方案。儘管如果有人有經驗並且成本合理,我仍然希望聽到其他替代方案。
我將推荐一些不同的工具來提醒、監控和保護你的基礎設施。
Tripwire 是文件完整性的標準,與 Samhain 等 OSS 競爭對手一樣。文件完整性解決方案告訴您文件系統和文件篡改加密完整性。
Mod Security 是一個開源的 Web 應用防火牆,通常與 Apache 一起使用。webapp 防火牆可能有助於保護您的 php 應用程序。
Snort 和 BRO 是免費的 IDS。您可以通過免費的 Security Onion 輕鬆獲得這些。Snort 是基於簽名的,而 Bro 是基於行為的。
Splunk 可能是一個很好的日誌監控解決方案。它有免費和商業版本,功能集有所改變。您可以將 Security Onion 與 Splunk 結合使用。
理想情況下,您希望在與被監控主機不同的盒子上執行您的安全服務。根據被監控的基礎設施的大小,這可以是一個非常低端的機器,或者只是一個虛擬機。
如果您還沒有,我建議您也加強所有基礎設施(網路、數據庫等)。DISA STIG、CIS、NSA SRG,諸如此類。您可以編寫一個 BASH 強化/審計腳本,使其每天在所有主機上執行,然後向您發送一份加密結果的副本。稍後進行差異,您知道發生了什麼變化。
或者,用於執行相同操作的更現代的解決方案可能包括可自動化的配置管理解決方案,例如 puppet、chef 或 cfengine。
我的筆測試朋友喜歡將一個數據庫弱點納入整個主機或網路的妥協,因此請記住主動強化、最小特權、最小化,以及當所有其他方法都失敗時,一個好的事件響應公司。