Re: apache Logfiles auf Sicherheitsprobleme prüfen

To: debian-user-german@lists.debian.org
Subject: Re: apache Logfiles auf Sicherheitsprobleme prüfen
From: Martin Steigerwald <Martin@lichtvoll.de>
Date: Fri, 15 Feb 2013 10:14:47 +0100
Message-id: <[🔎] 201302151014.47441.Martin@lichtvoll.de>
In-reply-to: <[🔎] 511CD276.80808@comline.de>
References: <[🔎] 511CD276.80808@comline.de> (sfid-20130214_133000_838941_A96626E6)

Am Donnerstag, 14. Februar 2013 schrieb Ralf Prengel:
> Hallo,

Hi Ralf,

> ich habe mir jetzt länger octopussy von http://8pussy.org/ angesehen.
> Leider funktioniert das hier noch nicht richtig.
> ssh sicher ich ich mit fail2ban ab.
> Ich suche konkret im Moment ein Tool das die Logfiles von Apache
> überwacht und bei Auffälligkeiten, die auf Sicherheitsprobleme hindeuten
> Alarm, schlägt.
> Hat jemand einen Tip für ein fertiges Tool?

Am sinnvollsten finde ich immer noch, einen Webserver so zu konfigurieren, 
dass ich mir keine Gedanken über ein solches Tool machen brauche.

Denn: Vorher sicher = Kein Einbruch.

Protokoll-Analyse-Tool schlägt Alarm = Das Problem ist bereits passiert.

Ansonsten warte ich mal ab, was hier für Vorschläge kommen. Ich denke, wir 
haben kein solches Tool irgendwo im Einsatz. Ich privat auch nicht.

Um etwaige Brute Force Attacken auf Authentifizierungsseiten zu verlangsamen, 
hatte ich mal eine Zeit mod-evasive im Einsatz. Aber auch das ist ein Tool, 
das proaktiv arbeitet statt reaktiv.

Gesunder Menschenverstand bei der Implementierung des Webservers macht 
meines Erachtens ein solches Tool in vielen Fällen überflüssig. Wenn ich 
natürlich keinen Einfluß drauf habe, was für ein PHP-Schlonz da drauf kommt… 
oder wie aktuell die Betreiber der Anwendungen diesen halten…

Aber auch da würde ich eher in Richtung mod_security gehen. Aufwendig zu 
konfigurieren, aber auch dieses Tool arbeitet proaktiv.

Evtl. haben auch Intrustion Detection-Systeme wie Snort etc. ein Modul für 
HTTP. Wenn es denn was Reaktives sein soll. Und dann gibts die allgemeinem 
Log-Checker, die möglicherweise auch ein Apache-Modul haben. Aka logcheck 
z.B.

Eine Herausforderung dürfte sein, das Programm dann so zu konfigurieren, dass 
die Meldungen auf den Punkt sind. Bei vielen falschen Positiven schaut sonst 
niemand mehr hin, wenn es ein tatsächliches Problem gibt.

Ciao,
-- 
Martin 'Helios' Steigerwald - http://www.Lichtvoll.de
GPG: 03B0 0D6C 0040 0710 4AFA  B82F 991B EAAC A599 84C7

Reply to:

Follow-Ups:
- Re: apache Logfiles auf Sicherheitsprobleme prüfen
  - From: Martin Steigerwald <Martin@lichtvoll.de>

References:
- apache Logfiles auf Sicherheitsprobleme prüfen
  - From: "Ralf Prengel" <ralf.prengel@comline.de>

Prev by Date: Re: OT?: XEN Dom0 Headless, dafür DomU mit PCI-Passthrough ?
Next by Date: Re: apache Logfiles auf Sicherheitsprobleme prüfen
Previous by thread: apache Logfiles auf Sicherheitsprobleme prüfen
Next by thread: Re: apache Logfiles auf Sicherheitsprobleme prüfen
Index(es):
- Date
- Thread