enf*_*eld 2 security linux php ids apache-2.2
我想在一些运行 PHP 和 Apache 的 linux 网络服务器上添加某种类型的跟踪/警报。
在进行搜索时,我遇到了 2006-2009 年的大量信息。想重新审视事物,看看其他人现在在做什么。
这里的主要目的是跟踪任何文件何时更改,如果更改,请以某种方式提醒我。IDS 也是如此,希望某些东西可以驻留在同一台服务器上?由于其中一些是小规模项目,我更喜欢真正有效的开源/免费解决方案。尽管如果有人有经验并且成本合理,我仍然希望听到其他替代方案。
我将推荐几种不同的工具,用于警报、监控和保护您的基础设施。
Tripwire 是文件完整性的标准,OSS 竞争对手如 Samhain。文件完整性解决方案告诉您有关文件系统和文件篡改加密完整性的信息。
Mod Security 是一种常用于 Apache 的开源 Web 应用程序防火墙。webapp 防火墙可能有助于保护您的 php 应用程序。
Snort 和 BRO 是免费的 IDS。您可以通过免费的安全洋葱轻松获得这些。Snort 是基于签名的,而 Bro 是基于行为的。
Splunk 可能是一个很好的日志监控解决方案。它有免费和商业版本,但功能集有所变化。您可以将 Security Onion 与 Splunk 结合使用。
理想情况下,您希望在与被监控主机不同的机器上运行您的安全服务。根据被监控基础设施的大小,这可以是一个非常低端的盒子,或者只是一个虚拟机。
如果您还没有,我建议您也加强所有基础设施(网络、数据库等)。DISA STIG、CIS、NSA SRG,诸如此类。您可以编写一个 BASH 强化/审计脚本,使其每天在所有主机上运行,然后向您发送一份加密结果的副本。稍后进行差异,您知道发生了什么变化。
或者,用于执行某些相同操作的更现代的解决方案可能包括可自动化的配置管理解决方案,例如 puppet、chef 或 cfengine。
我的渗透测试朋友喜欢将一个数据库弱点纳入整个主机或网络的妥协,因此请记住主动强化、最小权限、最小化,以及当所有其他方法都失败时,一个好的事件响应公司。
| 归档时间: |
|
| 查看次数: |
820 次 |
| 最近记录: |