Re: apache Logfiles auf Sicherheitsprobleme prüfen
Am Donnerstag, 14. Februar 2013 schrieb Ralf Prengel:
> Hallo,
Hi Ralf,
> ich habe mir jetzt länger octopussy von http://8pussy.org/ angesehen.
> Leider funktioniert das hier noch nicht richtig.
> ssh sicher ich ich mit fail2ban ab.
> Ich suche konkret im Moment ein Tool das die Logfiles von Apache
> überwacht und bei Auffälligkeiten, die auf Sicherheitsprobleme hindeuten
> Alarm, schlägt.
> Hat jemand einen Tip für ein fertiges Tool?
Am sinnvollsten finde ich immer noch, einen Webserver so zu konfigurieren,
dass ich mir keine Gedanken über ein solches Tool machen brauche.
Denn: Vorher sicher = Kein Einbruch.
Protokoll-Analyse-Tool schlägt Alarm = Das Problem ist bereits passiert.
Ansonsten warte ich mal ab, was hier für Vorschläge kommen. Ich denke, wir
haben kein solches Tool irgendwo im Einsatz. Ich privat auch nicht.
Um etwaige Brute Force Attacken auf Authentifizierungsseiten zu verlangsamen,
hatte ich mal eine Zeit mod-evasive im Einsatz. Aber auch das ist ein Tool,
das proaktiv arbeitet statt reaktiv.
Gesunder Menschenverstand bei der Implementierung des Webservers macht
meines Erachtens ein solches Tool in vielen Fällen überflüssig. Wenn ich
natürlich keinen Einfluß drauf habe, was für ein PHP-Schlonz da drauf kommt…
oder wie aktuell die Betreiber der Anwendungen diesen halten…
Aber auch da würde ich eher in Richtung mod_security gehen. Aufwendig zu
konfigurieren, aber auch dieses Tool arbeitet proaktiv.
Evtl. haben auch Intrustion Detection-Systeme wie Snort etc. ein Modul für
HTTP. Wenn es denn was Reaktives sein soll. Und dann gibts die allgemeinem
Log-Checker, die möglicherweise auch ein Apache-Modul haben. Aka logcheck
z.B.
Eine Herausforderung dürfte sein, das Programm dann so zu konfigurieren, dass
die Meldungen auf den Punkt sind. Bei vielen falschen Positiven schaut sonst
niemand mehr hin, wenn es ein tatsächliches Problem gibt.
Ciao,
--
Martin 'Helios' Steigerwald - http://www.Lichtvoll.de
GPG: 03B0 0D6C 0040 0710 4AFA B82F 991B EAAC A599 84C7
Reply to: