Используя БЕДРА OSSEC вместе с rsyslog, излишеством?
Для меня определили задачу для укрепления наших серверов компании Linux. Одной из проблем, которая была обрисована в общих чертах, было то, что журналы хранятся на сервере, который создает две проблемы:
- Трудный агрегироваться и диагностировать проблемы
- Не очень безопасный, если сервер поставлен под угрозу затем, журналы могли бы удаляться или управляться.
Для рассмотрения обеих проблем, план состоит в том, чтобы передать все журналы, сгенерированные продуктивной средой к безопасному централизованному регистрирующемуся серверу.
Я собираюсь использовать БЕДРА OSSEC для обнаружения проникновения. Из того, что я собрал журналы коагулятов OSSEC от его узлов, таким образом, обеспечивающих и централизацию журналов и контроль IDS; эффективно поражая двух птиц одним камнем.
То, что я хотел бы знать, - должен ли я использовать дополнительные инструменты, чтобы передать и сохранить журналы как rsyslog или является ли это излишеством, и OSSEC будет достаточен для сохранения всех журналов для X количества времени на центральном лог-сервере.
OSSEC делает гораздо больше, чем rsyslog. Я бы сказал, что в первую очередь нужно настроить rsyslog или syslog-ng для отправки событий журнала за пределы сайта (или, по крайней мере, на сервер, до которого трудно добраться, если злоумышленник скомпрометировал ваш сервер) в реальном времени. Это действительно довольно просто настроить. Затем настройте решение HIDS. OSSEC делает больше, чем просто агрегирование журналов.
Вот список возможностей OSSEC: http://ossec-docs.readthedocs.org/en/latest/manual/non-technical-overview.html Я сейчас изучаю OSSEC. Мы посмотрели на средство проверки целостности файлов Stealth, которое изначально выглядело очень хорошо, поскольку на клиенте ничего не устанавливается, и на самом деле на клиенте практически нет следов, за которыми он отслеживается. Однако у Stealth есть несколько недостатков, которые быстро становятся очевидными. В настоящее время я пишу в блоге об этом, так что кричите, если вам понадобится дополнительная помощь. Я буду отправлять сообщения на http://blog.binarymist.net
Не лишнее. Отправка системного журнала на другой хост (как это может делать rsyslogd) - очень хорошая практика.
Агент OSSEC полезен, но не для пересылки системного журнала. OSSEC хранит только те конкретные ошибки, которые ему интересны. Для посмертного анализа вам понадобится больше, вам нужны полные журналы.
Используйте агент OSSEC, потому что он предлагает мониторинг модификации двоичных файлов, обнаружение руткитов и функциональность, подобную fail2ban (также известную как active-response).