Webサーバーのセキュリティ、侵入検知、およびファイルの整合性
PHPおよびApacheを実行しているいくつかのLinuxWebサーバーに、ある種の追跡/アラートを追加したいと思います。
検索をしていると、2006年から2009年にかけて多くの情報に出くわしました。物事を再訪し、他の人が今何をしているのかを見たいと思います。
ここでの主な目的は、ファイルがいつ変更されたかを追跡し、変更された場合はどういうわけか私に警告することです。同じことがIDSにも当てはまり、うまくいけば同じサーバーに常駐できるものはありますか?これらのいくつかは小規模なプロジェクトなので、私は本当に効果的なオープンソース/無料のソリューションを好みます。誰かが経験を持っていて、コストが正当化できるなら、私はまだ他の選択肢について聞きたいですが。
インフラストラクチャを警告、監視、および保護するためのいくつかの異なるツールを提案します。
Tripwireは、SamhainのようなOSSの競合他社とともに、ファイルの整合性の標準です。ファイル整合性ソリューションは、暗号化整合性に対するファイルシステムとファイルの改ざんについて説明します。
Mod Securityは、Apacheで一般的に使用されるオープンソースのWebアプリケーションファイアウォールです。 webappファイアウォールは、phpアプリケーションの保護に役立つ場合があります。
SnortとBROは無料のIDSです。これらは無料のセキュリティオニオンから簡単に入手できます。 Snortは署名ベースで、Broは動作ベースです。
Splunkは、あらゆるものに適したログ監視ソリューションになる可能性があります。機能セットが変更された無料バージョンと商用バージョンの両方があります。 SecurityOnionをSplunkと組み合わせて使用できます。
理想的には、監視対象のホストとは別のボックスでセキュリティサービスを実行する必要があります。監視対象のインフラストラクチャのサイズに応じて、これは非常にローエンドのボックスにすることも、単なる仮想マシンにすることもできます。
まだ行っていない場合は、すべてのインフラストラクチャ(ネットワーク、データベースなど)も強化することをお勧めします。 DISA STIG、CIS、NSA SRG、そのようなもの。すべてのホストで毎日実行するBASH強化/監査スクリプトをスクリプト化してから、暗号化された結果のコピーを送信できます。diff後で、あなたは何が変わったかを知っています。
あるいは、同じことを行うためのより現代的なソリューションには、puppet、chef、cfengineなどの自動化可能な構成管理ソリューションが含まれる場合があります。
私のペネトレーションテストの友人は、1つのDBの弱点をホスト全体またはネットワーク全体の侵害に持ち込むのが大好きなので、予防的な強化、最小特権、最小化、そして他のすべてが失敗した場合は、優れたインシデント対応会社を念頭に置いてください。