我想在一些运行 PHP 和 Apache 的 Linux 网络服务器上添加某种类型的跟踪/警报。
在搜索过程中,我发现了很多 2006-2009 年的信息。想重新回顾一下,看看其他人现在在做什么。
这里的主要目的是跟踪文件何时发生更改,如果有更改,以某种方式提醒我。IDS 也是如此,希望可以驻留在同一个服务器上?由于其中一些是小规模项目,我更喜欢真正有效的开源/免费解决方案。不过,如果有人有经验并且成本合理,我仍然想听听其他替代方案。
答案1
我将建议一些不同的工具来警报、监控和保护您的基础设施。
Tripwire 是文件完整性的标准,其竞争对手是 Samhain 等 OSS。文件完整性解决方案可告知您有关文件系统和文件篡改加密完整性的信息。
Mod Security 是一款开源 Web 应用程序防火墙,常用于 Apache。Web 应用程序防火墙可能有助于保护您的 php 应用程序。
Snort 和 BRO 是免费的 IDS。您可以通过免费的 Security Onion 轻松获得它们。Snort 基于签名,而 Bro 则基于行为。
Splunk 可能是一款适用于所有应用的出色日志监控解决方案。它有免费版和商业版,功能有所变化。您可以将 Security Onion 与 Splunk 结合使用。
理想情况下,您希望在与受监控主机不同的设备上运行安全服务。根据受监控基础设施的规模,这可能是一个非常低端的设备,也可能只是一个虚拟机。
如果您还没有这样做,我建议您也强化所有基础设施(网络、数据库等)。DISA STIG、CIS、NSA SRG 等。您可以编写一个 BASH 强化/审计脚本,每天在所有主机上运行,然后向您发送加密结果的副本。稍后再查看差异,您就会知道发生了什么变化。
或者,执行相同操作的更现代的解决方案可能包括可自动化的配置管理解决方案,例如 puppet、chef 或 cfengine。
我的渗透测试朋友喜欢利用一个数据库弱点来危害整个主机或网络,因此请记住主动强化、最小特权、最小化,以及当所有其他方法都失败时,寻找一家好的事件响应公司。