IDS для веб-сервера

To: debian-russian@lists.debian.org
Subject: IDS для веб-сервера
From: Andrey Tataranovich <tataranovich@gmail.com>
Date: Mon, 18 Feb 2013 17:40:10 +0300
Message-id: <[🔎] 20130218144010.GC3840@debbox.it>
Mail-followup-to: Andrey Tataranovich <tataranovich@gmail.com>, debian-russian@lists.debian.org
Reply-to: Andrey Tataranovich <tataranovich@gmail.com>

Доброго времени суток.

Посоветуйте инструмент, который позволит мониторить веб-сервер и
сигнализировать признаки вторжения

- запуск процесса под юзером www-data (должен быть whitelist)

- попытка маскироваться под apache (например в perl $0 = '/usr/sbin/apache2 -k start')

- открытие порта на прослушивание

- исходящее соединение от апача (должен быть whitelist)

Все это можно реализовать и на shell, но хочется найти готовое решение.
И желательно не монструозное при этом.

Прошу не предлагать: выкинуть PHP, включить SELinux, и проч. Нужны именно
оповещения о подозрительных действиях.

-- 
WBR, Andrey Tataranovich

Reply to:

Follow-Ups:
- Re: IDS для веб-сервера
  - From: alex allss <wingrime@gmail.com>

Prev by Date: про керберос и апач
Next by Date: Re: IDS для веб-сервера
Previous by thread: про керберос и апач
Next by thread: Re: IDS для веб-сервера
Index(es):
- Date
- Thread