Я хотел бы добавить какой-то тип отслеживания / оповещения на некоторых веб-серверах Linux, работающих под управлением PHP и Apache.
Выполняя поиск, я наткнулся на много информации за 2006-2009 годы. Хотел бы еще раз взглянуть на вещи и посмотреть, что сейчас делают другие.
Основная цель здесь - отслеживать, когда какие-либо файлы были изменены, и как-то предупреждать меня. То же самое касается IDS и, надеюсь, чего-то, что может находиться на одном сервере? Поскольку некоторые из них являются небольшими проектами, я бы предпочел действительно эффективные решения с открытым исходным кодом / бесплатные. Хотя я все же хотел бы услышать о других альтернативах, если у кого-то есть опыт и стоимость может быть оправдана.
Я собираюсь предложить несколько различных инструментов для оповещения, мониторинга и защиты вашей инфраструктуры.
Tripwire - это стандарт целостности файлов, у конкурентов OSS, таких как Samhain. Решения для обеспечения целостности файлов сообщают вам о файловой системе и фальсификации файлов с криптографической целостностью.
Mod Security - это брандмауэр веб-приложений с открытым исходным кодом, обычно используемый с Apache. Брандмауэр веб-приложений может помочь в защите ваших приложений php.
Snort и BRO - бесплатные IDS. Вы можете легко получить их с помощью бесплатного Security Onion. Snort основан на сигнатуре, а Bro основан на поведении.
Splunk может быть хорошим решением для мониторинга журналов для всего. Он поставляется как в бесплатной, так и в коммерческой версиях с измененными наборами функций. Вы можете использовать Security Onion вместе со Splunk.
В идеале вы хотите запускать свои службы безопасности на отдельном компьютере от контролируемых хостов. В зависимости от размера отслеживаемой инфраструктуры это может быть устройство очень низкого уровня или просто виртуальная машина.
Если вы еще этого не сделали, я бы рекомендовал также укрепить всю вашу инфраструктуру (сеть, базы данных и т. Д.). DISA STIG, CIS, NSA SRG и тому подобное. Вы можете создать сценарий усиления / аудита BASH, который будет запускаться каждый день на всех хостах, а затем отправить вам копию зашифрованных результатов. Позже разница, и вы знаете, что изменилось.
В качестве альтернативы более современное решение для выполнения некоторых из этих задач может включать в себя автоматизированное решение для управления конфигурацией, такое как puppet, chef или cfengine.
Мои друзья по тестированию на проникновение любят использовать одну слабость БД для компрометации всего хоста или сети, поэтому имейте в виду проактивное усиление защиты, минимальные привилегии, минимизацию и, когда все остальное терпит неудачу, хорошее реагирование на инциденты.