nicht angemeldet
Sicherheit beim Stand Alone Server
Hallo,
für ein größeres Webprojekt plane ich, einen eigenen Server (Root Server der Firma Schlund & Partner, Linux) anzumieten.
Das ganze soll ziemlich sicher werden und ich plane neben diversen Sicherheitseinrichtungen auch noch die LOGS regelmäßig zu überprüfen.
Meine Frage nun, welche Logs sollte man am Besten überprüfen und in welchem Zeitraum?
Gibt es dafür irgendwelche Tools, die die Logs regelmäßig an eine E-Mail schickenn? Ich meine nicht die Apache Logs, sondern die Logs vom Linux System, bei denen ich sehe, wer sich wann eingeloggt hat.
Vielen Dank
Maresa
-
Hi,
Das ganze soll ziemlich sicher werden und ich plane neben diversen Sicherheitseinrichtungen auch noch die LOGS regelmäßig zu überprüfen.
Dir ist klar, dass es sich bei letzterem um Detektivarbeit handelt. Eine Automatisierung ist _nicht_ sinnvoll.
Meine Frage nun, welche Logs sollte man am Besten überprüfen und in welchem Zeitraum?
Das Error-Log sowieso. Dann hängt es davon ab, welche Logfiles geschrieben werden. Interessant ist das Access- und, falls vorhanden, das SSL-Access-Logfile des Servers. Ebenso könntest Du hin und wieder in die Bash-History schauen. Der Zeitraum hängt von vielen Faktoren ab, u.a. vom Erfolg der Site.
Gibt es dafür irgendwelche Tools, die die Logs regelmäßig an eine E-Mail schickenn? Ich meine nicht die Apache Logs, sondern die Logs vom Linux System, bei denen ich sehe, wer sich wann eingeloggt hat.
Es handelt sich in beiden Fällen um Dateien. Du benötigst also nur ein Script bzw. Tool, welches (komprimierte) (Text-)Dateien zu verschicken in der Lage ist, und musst diesem den Pfad zur Datei beibringen. Der Rest ist cron.
Logge Dich niemals als root ein. Wenn Du es brauchst, werde root.
Cheatah
--
X-Will-Answer-Email: No
X-Please-Search-Archive-First: Absolutely Yes-
Hi,
Hi!
Dir ist klar, dass es sich bei letzterem um Detektivarbeit handelt. Eine Automatisierung ist _nicht_ sinnvoll.
Ja, das ist mir klar.
Interessant ist das Access- und, falls vorhanden, das SSL-Access-Logfile des Servers.
Wo finde ich diese Datien im Linux File System?
Du benötigst also nur ein Script bzw. Tool, welches (komprimierte) (Text-)Dateien zu verschicken in der Lage ist, und musst diesem den Pfad zur Datei beibringen. Der Rest ist cron.
Woher bekomme ich so ein Tool? Wo finde ich nähere Informationen zu cron (mehr als bei cron -man) ?
Logge Dich niemals als root ein. Wenn Du es brauchst, werde root.
Weshalb nicht?
Cheatah
Vielen Dank für Deine Hilfe!
Maresa
-
Hi Maresa,
Interessant ist das Access- und, falls vorhanden, das SSL-Access-Logfile des Servers.
Wo finde ich diese Datien im Linux File System?ich denke, Cheatah meint in beiden Fällen Dateien der Apache-Installation.
Da diese konfigurierbar ist, kann diese Frage niemand außer Dir selbst beantworten.Woher bekomme ich so ein Tool?
Selber schreiben. (In Perl oder als Shell-Skript 10 Zeilen, schätze ich mal.)
Wo finde ich nähere Informationen zu cron (mehr als bei cron -man) ?
"man crontab" finde ich hinreichend aussagekräftig für Deine Zwecke.
Logge Dich niemals als root ein. Wenn Du es brauchst, werde root.
Weshalb nicht?Wenn Du Dich als "root" einloggen kannst, können andere es ebenfalls, sobald sie Dein Kennwort erraten haben.
Viele Grüße
Michael--
T'Pol: I apologize if I acted inappropriately.
V'Lar: Not at all. In fact, your bluntness made me reconsider some of my positions. Much as it has now.
(sh:| fo:} ch:] rl:( br:^ n4:( ie:% mo:) va:| de:/ zu:| fl:( ss:) ls:~ js:|)
=> http://www.peter.in-berlin.de/projekte/selfcode/?code=sh%3A|+fo%3A}+ch%3A]+rl%3A(+br%3A^+n4%3A(+ie%3A%25+mo%3A)+va%3A|+de%3A%2F+zu%3A|+fl%3A(+ss%3A)+ls%3A~+js%3A|
Auch diese Signatur wird an korrekt konfigurierte Browser gzip-komprimiert übertragen.-
Wenn Du Dich als "root" einloggen kannst, können andere es ebenfalls, sobald sie Dein Kennwort erraten haben.
ja, aber es _muss_ doch einen user root auf dem system geben, oder?
-
Hi,
ja, aber es _muss_ doch einen user root auf dem system geben, oder?
man sudo
Cheatah
--
X-Will-Answer-Email: No
X-Please-Search-Archive-First: Absolutely Yes -
Hallo Maresa,
Wenn Du Dich als "root" einloggen kannst, können andere es ebenfalls, sobald sie Dein Kennwort erraten haben.
ja, aber es _muss_ doch einen user root auf dem system geben, oder?
Aber Du solltest Dich nicht von außen als root einloggen können. Also root-Logins über SSH deaktivieren. (Telnet sollte sowieso abgeschaltet oder besser gar nicht erst installiert sein) Du solltest Dich erst als normaler Benutzer anmelden und dann - wenn nötig - zu root wechseln. So muss ein unangenehmer Zeitgenosse zwei Passwörter überwinden, um Dein System komplett zu zerstören: Deines und das von root.
Viele Grüße,
Christian-
Moin!
Aber Du solltest Dich nicht von außen als root einloggen können. Also root-Logins über SSH deaktivieren. (Telnet sollte sowieso abgeschaltet oder besser gar nicht erst installiert sein) Du solltest Dich erst als normaler Benutzer anmelden und dann - wenn nötig - zu root wechseln. So muss ein unangenehmer Zeitgenosse zwei Passwörter überwinden, um Dein System komplett zu zerstören: Deines und das von root.
Gerade mit SSH gibts aber die Möglichkeit, Passwortauthentifizierung komplett abzuschalten und sich nur mit RSA-Schlüssel zu authentifizieren. Das ist ziemlich sicher.
- Sven Rautenberg
--
ss:) zu:) ls:[ fo:} de:] va:) ch:] sh:) n4:# rl:| br:< js:| ie:( fl:( mo:|
-
-
-
Hi,
Woher bekomme ich so ein Tool?
Selber schreiben. (In Perl oder als Shell-Skript 10 Zeilen, schätze ich mal.)meine Güte, Du machst vor der MIME-Kodierung wohl noch einen Konsistenz-Check, ob das Zippen geklappt hat, was? ;-)
Wenn man's geschickt anstellt, ist das ganze in Perl neben der Shebang und der Moduleinbindung "quasi" ein Einzeiler. Gut, ein bisschen Fehlerbehandlung drumherum würde nicht schaden. Ohne das (sehr sinnvolle!) Zippen (und die dadurch notwendige MIME-Kodierung) ginge es sogar direkt aus der crontab heraus, wenn ich nicht irre.
Cheatah
--
X-Will-Answer-Email: No
X-Please-Search-Archive-First: Absolutely Yes-
Hi Cheatah,
meine Güte, Du machst vor der MIME-Kodierung wohl noch einen Konsistenz-Check, ob das Zippen geklappt hat, was? ;-)
ich arbeite generell mit einem ziemlich uralten Perl und einer Firewall-Anbindung, welche die Installation von Modulen welcher Art auch immer schon auf meiner Entwicklungsmaschine zu einem Abenteuer werden läßt.
Und vor allem schreibe ich Perl-Skripte für Rechner, auf denen nicht ich den Perl-Interpreter installieren darf ... da lernt man, bescheidene Ansprüche an seine Umwelt zu stellen und seine 10-Zeiler selbst zu schreiben, wann immer möglich. ;-)Viele Grüße
Michael--
T'Pol: I apologize if I acted inappropriately.
V'Lar: Not at all. In fact, your bluntness made me reconsider some of my positions. Much as it has now.
(sh:| fo:} ch:] rl:( br:^ n4:( ie:% mo:) va:| de:/ zu:| fl:( ss:) ls:~ js:|)
=> http://www.peter.in-berlin.de/projekte/selfcode/?code=sh%3A|+fo%3A}+ch%3A]+rl%3A(+br%3A^+n4%3A(+ie%3A%25+mo%3A)+va%3A|+de%3A%2F+zu%3A|+fl%3A(+ss%3A)+ls%3A~+js%3A|
Auch diese Signatur wird an korrekt konfigurierte Browser gzip-komprimiert übertragen.
-
-
-
-