我一直在做关于保护 linux web 服务器的“广泛”研究。除了所谓的“基础”(删除未使用的服务、强化 ssh、iptables 等)之外,包括反 rootkits (Tripwire) 和反病毒 (ClamAV) 是否明智?这些对于网络服务器来说是否太过分了?我知道这是一个非常模糊的问题,但我很好奇其他人的意见。
我未来的环境: - ubuntu 10.04 - fail2ban - nginx 0.8.x - php 5.3.x (suhosin, apc, memcached) - mongodb 1.6.x
可能的应用: - 网络服务 - 用户上传的网络应用程序(图片、pdf 等) - 典型网站(表格等)
如果您有任何其他提示,请随时添加!
谢谢
当使用 tripwire --init 初始化数据库时,它会吐出一堆与 /proc 相关的错误:
### Warning: File system error.
### Filename: /proc/16982/fd/4
### No such file or directory
### Continuing...
### Warning: File system error.
### Filename: /proc/16982/fdinfo/4
### No such file or directory
### Continuing...
### Warning: File system error.
### Filename: /proc/16982/task/16982/fd/4
### No such file or directory
### Continuing...
### Warning: File system error.
### Filename: /proc/16982/task/16982/fdinfo/4
### No such file or directory
### Continuing...
### Warning: Duplicate object encountered.
### /proc/sys/net/ipv6/neigh
这感觉像噪音。该 twpol.txt 文件具有以下子句: …
我在 debian 服务器上设置了tripwire,默认策略有一些奇怪的设置。
#
# Critical devices
#
(
rulename = "Devices & Kernel information",
severity = $(SIG_HI),
)
{
/dev -> $(Device) ;
# /proc -> $(Device) ;
}
/proc非常不稳定,所以我已经把它注释掉了,但我想我应该把其中的一些内容明确地放在这里。我有一些想法,但我会就此事征求意见。
另一件事是/var/log:
#
# These files change every time the system boots
#
(
rulename = "System boot changes",
severity = $(SIG_HI)
)
{
/var/lock -> $(SEC_CONFIG) ;
/var/run -> $(SEC_CONFIG) ; # daemon PIDs
# /var/log -> $(SEC_CONFIG) ;
}
再次太不稳定,误报太多。我是否应该明确监视它的某些指定部分以及什么。其余的/var是$(SIG_MED)和$(SEC_INVARIANT) …
寻找一个类似于tripwire的基于主机的IDS。最好是允许集中管理的一种。现在我使用tripwire,虽然它可以通过中央服务器进行管理和报告,但它是理想的。我正在寻找实际使用过的建议,而不仅仅是谷歌搜索结果。谢谢!
我对tripwire报告的理想解决方案是:
仅在发现违规时才会生成每日电子邮件
每个星期天,无论是否发现违规行为,都会通过电子邮件发送报告
我也对 SF'ers 关于实现这一点的意见感兴趣。也许这违背了绊线的目的?我想我可以看到有人提出这样的论点。
当我用tripwire扫描我的系统并尝试更新后
tripwire --update -Z low
我收到错误:
### Error: File could not be opened.
### Filename: /var/lib/tripwire/report/nesystem-20101217-212722.twr
### No such file or directory
### Exiting...
什么原因?