Gestisco il mio server a casa per il mio sito Web personale con Ubuntu Server con Apache, Bind9 e Django. Quali registri suggeriresti di tenere meglio su base regolare? (piuttosto che sulla base della lettura quando qualcosa va storto). Sto pensando di rilevare tentativi di intrusione (in precedenza ho riscontrato errori SSH) e traffico insolito o errori sul mio sito.
Risposte:
Registri di interesse:
Uso il pacchetto logwatch per monitorare il traffico SMTP e gli accessi SSH e i tentativi di autenticazione. È disponibile dalla maggior parte delle distribuzioni Linux, incluso Ubuntu per impostazione predefinita.
aptitude install logwatch
In passato ho usato anche il logurfer + che è un software complicato, ma altamente configurabile.
Se nessuno di questi strumenti (logwatch, logsurfer +) soddisfa le tue esigenze, esiste un gran numero di soluzioni di gestione dei log di vari fornitori. Dai pacchetti software ai dispositivi dedicati. Eccone alcuni per iniziare se si desidera effettuare ulteriori ricerche. Non sono affiliato a nessuna di queste società o prodotti.
Suggerisco di usare OSSEC per monitorare i tuoi registri. Rileverà automaticamente i file di registro importanti e li monitorerà in tempo reale per impostazione predefinita.
Se stai usando Ubuntu, esaminerà tutti i registri di autenticazione, i registri apache, i registri apt-get (per vedere quando sono installate nuove app), ecc.
È open source, ha un team di sviluppo attivo ed è semplice da usare. Ci siamo trasferiti da logwatch, perché guarda i log in tempo reale invece di farlo ogni X ore come fa log watch.
Link: http://www.ossec.net
In genere guardo i file sopra, ma principalmente i file syslog (/ var / log / messages). Di solito ho impostato syslog-ng per fornire un filtro migliore e ho impostato syslog per accedere come * .debug in modo da poter vedere tutto. Tutto questo viene letto da uno script di shell che ha le sue radici in logcheck.sh (scusate, ho perso il link) e mi invia articoli interessanti ogni giorno. Questo ha una maggiore quantità di rumore che è difficile da filtrare, ma uso anche il livello di rumore come controllo dello stato: se il livello di rumore aumenta o diminuisce improvvisamente, qualcosa è cambiato.
Ho un avvertimento su logwatch ed è "cosa" cercare. Ho scritto / usato uno strumento chiamato petit per eseguire la scoperta e la correlazione delle parole. Utilizza un paio di semplici tecniche di Natural Language Processing per rimuovere le password. Questo aiuta un amministratore / analista che è responsabile dell'analisi dei log a sentirsi più sicuro che sta effettivamente prendendo tutti gli eventi che vuole con logwatch.
È un problema di base pollo / uovo di come faccio a sapere cosa devo cercare fino a quando non l'ho visto prima. La modalità di scoperta delle parole di petit aiuta in questo. Inoltre fornisce grafici e hash di cli.