我需要在 AWS 实例上部署一些文件完整性监控和入侵检测软件。
我真的很想使用 OSSEC,但它在服务器可以根据负载自动部署和关闭的环境中效果不佳,因为它需要生成服务器管理的密钥。因此,将代理包含在 AMI 中将无法在启动时立即进行监控。
有很多选择,本网站的其他帖子中列出了其中的几个,但到目前为止我还没有看到任何一个能够解决 AWS 或一般基于云的部署所固有的独特问题。
有人能给我介绍一些产品吗,最好是开源的,我们可以用它们来涵盖 PCI DSS 中需要该软件的部分?
还有其他人在 AWS 上实现过这一目标吗?
答案1
我认为您仍然可以使用 OSSEC。不久前,我发现一个博客,似乎表明您至少可以使用 puppet 实现自动化,这意味着您可能可以创建大量多余的密钥,然后根据需要分配它们。
http://myrondavis.org/2010/12/how-to-completely-automate-ossec.html
答案2
有一个选项是使用 ossec-authd 转向 PKI 而不是对称加密。 http://dcid.me/blog/2011/01/automatically-creating-and-setting-up-the-agent-keys/
这样可以很容易地向服务器添加自动生成的代理(向外扩展)。但在向内扩展时删除代理是困难的部分。 https://groups.google.com/forum/#!msg/ossec-list/cpoopmzBf3Q/JZObqvgAFi4J
上述链接中建议的一个想法是让一个 monkey 通过查询 AWS 定期从服务器中清理死机实例。这样做是可行的,因为一旦实例因缩减而死机,它将开始使 OSSEC 服务器的保持活动信号失效。因此,monkey 可以检测不活动的代理,然后检查 AWS 以查看实例是否已终止并将其从 OSSEC 服务器中删除。