Безопасность веб-сервера, обнаружение проникновения и файл intregrity

Я собираюсь предложить несколько различных инструментов для оповещения, мониторинга и защиты вашей инфраструктуры.

Tripwire является стандартом целостности файлов, у конкурентов OSS, таких как Samhain. Решения для обеспечения целостности файлов сообщают вам о файловой системе и фальсификации файлов с помощью криптографической целостности.

Mod Security - это брандмауэр веб-приложений с открытым исходным кодом, обычно используемый с Apache. Брандмауэр webapp может помочь в защите ваших приложений php.

Snort и BRO - это бесплатные IDS. Вы можете легко получить их с помощью бесплатного Security Onion. Snort основан на сигнатуре, а Bro основан на поведении.

Splunk может быть хорошим решением для мониторинга журналов всего. Он поставляется как в бесплатной, так и в коммерческой версиях с измененными наборами функций. Вы можете использовать Security Onion вместе со Splunk.

В идеале, вы хотите запускать свои службы безопасности на отдельном компьютере от контролируемых хостов. В зависимости от размера отслеживаемой инфраструктуры это может быть устройство очень низкого уровня или просто виртуальная машина.

Если вы еще этого не сделали, я бы рекомендовал укрепить всю вашу инфраструктуру (сеть, базы данных и т. Д.) слишком. DISA STIG, CIS, NSA SRG и тому подобное. Вы можете написать сценарий усиления / аудита BASH, который будет запускаться каждый день на всех хостах, а затем отправить вам копию зашифрованных результатов. Различия позже, и вы знаете, что изменилось.

В качестве альтернативы, более современное решение для того же может включать решение для автоматического управления конфигурацией, такое как puppet, chef или cfengine.

Мои друзья по тестированию пера любят брать такое. Слабость БД приводит к компрометации всего хоста или сети, поэтому имейте в виду упреждающую защиту,