他の管理者はサーバーをどのように監視して、不正アクセスやハッキングの試みを検出していますか?大規模な組織では問題に人々をさらすのは簡単ですが、小規模なショップではどのようにサーバーを効果的に監視できますか?
私はサーバーログをスキャンして、私に飛びつくものを探しますが、見逃すのは本当に簡単です。あるケースでは、ハードドライブの空き容量が足りなかったため、サーバーがFTPサイトとして引き継がれました。FATテーブルをいじってファイルを隠すのは素晴らしい仕事でした。フォルダーの特定の名前がわからない限り、エクスプローラー、DOSから、またはファイルの検索時に表示されません。
他にどのようなテクニックやツールを使用していますか?
回答:
実行しているシステムのタイプに一部依存します。Linuxに精通しているので、Linuxのいくつかの提案の概要を説明します。それらのほとんどはWindowsにも適用されますが、ツールがわかりません...
IDSを使用する
SNORT®は、ルール駆動型言語を利用したオープンソースのネットワーク侵入防止および検出システムであり、署名、プロトコル、および異常ベースの検査方法の利点を組み合わせています。これまでに何百万ものダウンロードがあったSnortは、世界中で最も広く導入されている侵入検知および防止技術であり、業界の事実上の標準となっています。
Snortはネットワークトラフィックを読み取り、「ドライブバイペンテスト」など、誰かがサーバーに対してメタスプロイトスキャン全体を実行するようなものを探すことができます。私の意見では、このようなことを知っているのは良いことです。
ログを使用...
使用状況に応じて、ユーザーがログインしたとき、または奇数のIPからログインしたとき、rootがログインしたとき、または誰かがログインしようとしたときに知ることができるように設定できます。私は実際に私のサーバーに電子メールを持っているすべてのログメッセージ高いデバッグより。はい、通知さえ。もちろん、それらのいくつかをフィルタリングしますが、毎朝10件のメールに関するメールを受け取ったとき、それを修正して、それが起こらないようにします。
構成を監視する-実際に/ etc全体をSubversionに保存して、リビジョンを追跡できるようにします。
スキャンを実行します。LynisやRootkit Hunterなどのツールを使用すると、アプリケーションのセキュリティホールの可能性を警告できます。すべてのビンのハッシュまたはハッシュツリーを維持し、変更を警告できるプログラムがあります。
サーバーを監視します-ディスクスペースについて述べたように-何かが異常な場合、グラフがヒントを与えてくれます。私はCactiを使用して、CPU、ネットワークトラフィック、ディスク容量、温度などを監視します。何かがおかしいと思われる場合はおかしいので、なぜおかしいのかを見つけてください。
できることはすべて自動化してください... OSSEC http://www.ossec.net/ Client / server installのようなプロジェクトを見てください。本当に簡単なセットアップで、チューニングも悪くありません。レジストリエントリなど、何かが変更されたかどうかを簡単に判断する方法。小さな店でも、すべてのログを1か所でダイジェストできるようにsyslogサーバーの設定を検討します。Windowsログを分析のためにsyslogサーバーに送信するだけの場合は、syslogエージェントhttp://syslogserver.com/syslogagent.htmlを確認してください。