Krzysztof Jozwiak wrote:
Dnia śro 16. kwiecień 2003 17:03, Leonard Milcin, Jr napisał:
Używam tego w firmie. Serwer dedykowany do sysloga (syslog-ng) zbiera
dane z wszystkich urządzeń sieciowych (switche, routery) i serwerów.
Co ważniejsze rzeczy lecą odrazu na drukarkę mozaikową :)
dołącz do tego samahina (nie ma tego w paczkach),
z programem będziesz musiał się troche zapoznac ale jest na prawde dobry.
Pozwoli Ci kontrolować integralność systemu plików (jak tripwire), może
pracować w architeksturze klient-serwer (serwer logów się kłania) i bazą
danych (mysql i postgresql - własnie pisze soft w php aby je wygodnie
przeglądać), na kliencie możesz go zamaskować nawet przez specjalny moduł do
jądra (takie tam jak zmiana nazwy programu, plików i innych to nie wspomne).
Tripwire jest fajny, ale ja używam własnego systemu
backupowo-ostrzegawczego.
Backup co 3 godziny przy pomocy dumpa (z wyjątkiem tych serwerów gdzie
się nie
da tak często). Podpisane pliki odrazu są szyfrowane pgp i przesyłane na
inny serwer.
Regularnie są skanowane sygnatury plików. Co pewien czas robie to
ręcznie przy pomocy
systemu odpalanego z cdromu lub z dyskietki. Sygnatury też wysyłam (tak
jak backupy - po ssh).
Jeżeli nawet ktoś się włamię (nie mogę tego przecież wykluczyć), to nie
pożyje więcej
jak trzy godziny. Do serwera który zbiera logi i backupy jest podłączony
telefon komórkowy
który wysyła smsy za każdym razem gdy wykryje jakieś anomalie (np.
któryś serwer
przestaje się pingować lub nie wysłał w przewidzianym czasie sygnatur i
backupów, lub też
w logach znalazło się coś, co się znaleźć nie powinno). Przy pomocy smsa
mogę
wybrane urządzenie automatycznie odłączyć od sieci (na poziomie portu na
switchu).
Nice?
Leonard Milcin, Jr
