我需要在AWS实例上部署一些文件完整性监控和入侵检测软件。
我真的很想使用OSSEC,但是在服务器可以自动部署和closures负载的环境下,它不能正常工作,因为它需要生成服务器托pipe密钥。 包括代理人在AMI中不会允许监视,因为这一点。
这里有很多选项,其中一些列在本网站的其他文章中,但是到目前为止我没有见过这些文章,这些文章都涉及到AWS或基于云的部署中固有的独特问题。
任何人都可以指向我的某些产品,最好是开源的,我们可能会用它来涵盖那些需要此软件的PCI DSS部分?
有没有其他人在AWS上实现了这一点?
我认为你仍然可以使用OSSEC。 一段时间后,我发现一个博客,似乎表明,你至less可以用puppet自动化,这意味着你可能会创build大量的多余的密钥,然后根据需要分配它们。
http://myrondavis.org/2010/12/how-to-completely-automate-ossec.html
有一个选项可以转移到PKI,而不是使用ossec-authd进行对称encryption。 http://dcid.me/blog/2011/01/automatically-creating-and-setting-up-the-agent-keys/
这将使得自动产生的代理(向外扩展)添加到服务器非常容易。 但是,在扩大规模的情况下去除代理是非常困难的部分。 https://groups.google.com/forum/#!msg/ossec-list/cpoopmzBf3Q/JZObqvgAFi4J
在上面的链接上提出的一个想法是让猴子通过查询AWS定期从服务器清除死的实例。 这是可行的,因为一旦一个实例由于缩放而死亡,它将开始使OSSEC服务器的保活信号失效。 因此,猴子可以检测到不活动的代理,然后检查AWS以查看实例是否已终止,并将其从OSSEC服务器中删除。