PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Server System Baselines/Auditing von Remote-Server



$emperf!
30.03.19, 22:23
Hi Leute

Ich habe ein paar Server, welche ich gerne in regelmässigen Abständen überprüfen möchte um festzustellen, wenn etwas an Systemdateien und einigen Konfig Dateien verändert wurde.

Suche so etwas wie Tripwire aber nicht um es lokal auf dem jeweiligen Host zu betreiben sondern auf einem dedizierten Server.
Es muss keine High-End Lösung sein, habe mir sogar überlegt es selber zu machen mit zertifikatbasiertem SSH Zugriff auf die jeweiligen Server und z.B. mit rsync die gewünschten Dateien holen und dann mit Python etwas schreiben was einen hash generiert und gegen den Hash von der vorherigen Version vergleicht... etc. etc. :-)

Wenn es jedoch etwas simples fertiges freies opensource geben würde, so wäre mir das aus Zeitgründen natürlich lieber weil solche tollen Projektchen oft zeitlich etwas überborden und dann plötzlich ein weiteres Jahr vom Leben weg ist :-)

Grüsse und danke,
Markus

marce
31.03.19, 10:07
Zum prüfen entweder tripwire oder AIDE - wobei, wenn's um Konfig-Dateien geht und ggf. gepinnte Paket-Varianten würde ich mir eher sowas die Ansible oder Puppet anschauen.

$emperf!
31.03.19, 16:29
Grüss dich,

ich werde wohl Tripwire nehmen und es auf einen Raspberry Pi3 installieren. Soll ich die Dateien von den Servern, die ich überprüfen will, mit rsync auf den Raspberry holen und dann Trippwire verwenden für die Integritätsprüfung oder kann Tripwire auch via SSH von fern seine Überprüfungen durchführen? Finde irgendwie nicht so viele Infos hinsichtlich einer Remote Lösung übers Netz.

Grüsse und danke,
Markus

Dukel
31.03.19, 18:39
Verwende es doch remote und schau / hol dir nur das Ergebnis.

marce
31.03.19, 19:39
Beschreibe doch bitte mal genau, was Du vorhast. Was ist das Ziel, um was geht es genau, ...

$emperf!
31.03.19, 20:12
<versucheinergenauenbeschreibung>
:-)

Ich habe ca. 15 virtuelle Server welche relativ unspektakuläre Dienste unter http und https anbieten.
Die Server sind online und übers Internet erreichbar.
Die Server sind in einer DMZ und der Zugriff ist auf die nötigsten Services eingeschränkt nach innen wie auch nach aussen.
Weil ich etwas Paranoid bin(fühle ich einfach besser mit der paranoia), würde ich gerne schnell mitbekommen, wenn an der Konfig an einem dieser Server etwas geändert wird ausserhalb meiner Changes oder Wartungen.
Von extern prüfe ich z.B. mit einem Pyhthon skript alle paar Minuten, ob sich an den Webinhalten etwas verändert hat. Tritt dieser Fall ein wird der Internetzugang augenblicklich unberbunden indem der entsprechende Port meiner opnsense runter fährt und ich kriege eine Mail.
Nun will ich auch noch die delikaten Konfig Dateien überwachen um sofort festzustellen, wenn etwas verändert würde.

Da so ein Tripwire nicht grad einen Haufen resourcen benötigt, würde ich das gerne für den Anfang auf einem Raspi versuchen. Das Raspi greifft von einem gesonderten Netz auf meine Server zu und überprüft die von mir als schützenswert eingestuften Konfig Dateien. Wenn eine Veränderung festgestellt wird, kriege ich umgehend eine Nachricht und meine FW fährt ihren WAN Port runter. Ich schaue mir das dann über einen zweiten VPN Zugang an oder hole gleich meinen Forensik Koffer aus dem Keller :p

Die Zeiten haben sich eben geändert :cool:

</versucheinergenauenb....>

marce
01.04.19, 06:49
Ok, wenn Du meinst...

Daß Du Dir da einen riesigen Klotz bezüglich Pflegeaufwand an's Bein bindest ist Dir hoffentlich klar.

... und Dir sollte klar sein, daß so ein System eigentlich nur einen über ein von einem vertrauenswürdiges Medium gestarteten Offline-Scan sichere Ergebnisse liefert.

pferdefreund
09.04.19, 10:12
Ich mach sowas mit md5sum. Bekomme regelmäßig dann auf die Finger gehauen, wenn ich vergesse, die md5sum-Datei upzudaten, wenn ich selbst was geändert habe.