CSF/LFD alternatíva, szerver integritás ellenőrzés

Security-all

Sziasztok

Utoljára 5 éve néztem ezt a párost, akkor is beletört a bicskám, most is.
Az LFD koncepciója tetszik, mert, ami nekem kell:
- Legyen egy fehér process lista, ami azon kívül van, lője ki és jelentsen
- ha valamelyik processzel elszalad a ló, jelentsen
- ha megváltozik az md5 lenyomata, jelentsen esetleg lője ki (tud ilyet?)

Viszont jön vele a CSF nevű állat is, ami nagyon nem tetszik, mert:
- nincs established related state, helyette mindenhova forrás és célportot használ, mint 15 éve csináltuk
- nem tudom megmondani neki, hogy van localhost és van eth0, amire más szabályok vonatkoznak
- létrehoz egy valag chain-t meg filtert, amit feleslegesnek érzek

Tudtommal az LFD-t nem lehet CSF nélkül használni, így együtt estek ki nálam, ezért a fenti igényekre keresek alternatívát....esetleg ha valamit nagyon benéztem, akkor egy kis útbaigazítást az LFD-hez.

Köszönöm!

update: bármilyen szerver integritás ellenőrzőt keresek, ami képes kibuktatni, ha módosultak a binárisok, idegen programok futnak a szerveren. Esetleg ezeket képes killelni.

  • 756 megtekintés

( Proci85 v | 2017. 04. 08., szo – 21:13 )

Senki?
Mit használtok (web)szerver integritás ellenőrzésre, auditálásra, védelemre?

A felvetésed többrétű, és eltérő problémákat taglal. Esetleg tripwire, AIDE, BART, elfsign verify és effélék - akár maga a csomagkezelő - lehetnek segítségedre megváltozott file-ok tekintetében. Ami a 'process whitelist'-et illeti, nem tartom jó ötletnek. Gyűjts bizonyos metrikákat a rendszerről, állíts be riasztásokat ezek alapján (SAR, munin ill. rokonai) Minimalizáld a támadási felületet és egy esetleges sikeres támadás hatásait inkább! (immutability, rctl, nagyon szűkmarkúan mért jogosultságok, IDS/IPS/tűzfalak, azaz megfelelő hálózatbiztonsági óvintézkedések, satöbbi.) Baromi sok minden múlik a környezeten és a feltételeken, nincs one size fits all csodarecept, csak általában követendő irányelvek, illetve speciális peremfeltételek, amelyek eldöntik, milyen jellegű kompromisszum valósulhat meg a használhatóság és biztonság között. No meg rengeteg eszköz...
------------------------
{0} ok boto
boto ?

( sj | 2017. 07. 01., szo – 14:10 )

ez egy ceges webszerver ellenorzott tartalommal, vagy egy shared webhosting, amire az ugyfelek (+a bug-os form-okat exploit-alo script kiddie-k) minden szart felpakolnak?

--
Allitsuk meg Andorrat!