Мне было поручено укрепить серверы Linux нашей компании. Одна из перечисленных проблем заключалась в том, что журналы хранятся на сервере, что создает две проблемы:
Для решения обеих проблем планируется пересылать все журналы, созданные производственной средой, на безопасный централизованный сервер журналов.
Я собираюсь использовать OSSEC HIPS для обнаружения вторжений. Из того, что я собрал, OSSEC коагулирует журналы со своих узлов, тем самым обеспечивая централизацию журналов и мониторинг IDS; эффективно поразить двух зайцев одним выстрелом.
Я хотел бы знать, следует ли мне использовать дополнительные инструменты для пересылки и хранения журналов, таких как rsyslog, или это избыточно, и OSSEC будет достаточным для хранения всех журналов в течение X времени на центральном сервере журналов.
Не перебор. Отправка системного журнала на другой хост (как это может делать rsyslogd) - очень хорошая практика.
Агент OSSEC полезен, но не для пересылки системного журнала. OSSEC хранит только те конкретные ошибки, которые ему интересны. Для посмертного анализа вам нужно больше, вам нужны полные журналы.
Используйте агент OSSEC, потому что он предлагает мониторинг модификации двоичных файлов, обнаружение руткитов и функциональность, подобную fail2ban (также известную как активный ответ).
OSSEC делает гораздо больше, чем rsyslog. Я бы сказал, что настройка rsyslog или syslog-ng для отправки событий журнала за пределы сайта (или, по крайней мере, на сервер, к которому трудно добраться после того, как злоумышленник скомпрометировал ваш сервер) в реальном времени будет первым делом. Это действительно довольно просто настроить. Затем настройте решение HIDS. OSSEC делает больше, чем агрегирование журналов.
Вот список возможностей OSSEC: http://ossec-docs.readthedocs.org/en/latest/manual/non-technical-overview.html Я сейчас изучаю OSSEC. Посмотрели средство проверки целостности файлов Stealth, которое изначально выглядело очень хорошо, поскольку на клиенте ничего не устанавливается, и на самом деле на клиенте практически нет следов, за которыми он отслеживается. Однако у Stealth есть несколько недостатков, которые быстро становятся очевидными. В настоящее время я пишу в блоге об этом, так что кричите, если вам понадобится дополнительная помощь. Я буду писать в http://blog.binarymist.net