我想在运行PHP和Apache的一些linux web服务器上添加一些跟踪/警报。
在做search时,我遇到了很多来自2006-2009的信息。 想重温一下东西,看看别人现在在做什么。
这里的主要目的是跟踪什么时候有文件被更改,如果有的话提醒我。 IDS也是如此,希望可以驻留在同一台服务器上? 由于其中一些是小规模的项目,我宁愿开源/免费的解决scheme,真的很有效。 尽pipe如果某人有经验,而且费用合理,我还是希望听到其他的select。
我将build议一些不同的工具来提醒,监视和保护您的基础设施。
Tripwire是文件完整性的标准,像Samhain这样的OSS竞争对手。 文件完整性解决scheme告诉你有关文件系统和文件篡改密码的完整性。
Mod Security是Apache常用的开源Web应用防火墙。 webapp防火墙可能有助于保护您的php应用程序。
Snort和BRO是免费的IDS。 你可以很容易地通过免费的安全洋葱获得这些。 Snort是基于签名的,Bro是基于行为的。
Splunk可能是一个很好的日志监控解决scheme。 它包含免费和商业版本,具有更改的function集。 您可以将Security Onion与Splunk结合使用。
理想情况下,您希望在被监视的主机的另一个框中运行安全服务。 根据被监控基础设施的规模,这可能是一个非常低端的设备,或者只是一台虚拟机。
如果你还没有,我会build议强化所有的基础设施(networking,数据库等)。 DISA STIG,CIS,NSA SRG,类似的事情。 您可以编写一个BASH强化/审计脚本,以便每天在所有主机上运行,然后向您发送encryption结果的副本。 稍后再比较一下,你知道发生了什么变化。
或者,一个更现代的解决scheme可能包括一个自动化的configurationpipe理解决scheme,如puppet,chef或cfengine。
我的钢笔testing朋友们喜欢把一个数据库的弱点变成整个主机或networking的妥协,所以要记住主动强化,最小特权,最小化以及一旦失败的时候,一个好的事件响应公司。