Onderwerp: Server beveiliging

Oorspronkelijk geplaatst door Wouter-Ospito

Euhh...SpamAssassin? Lijkt me (als je dat niet op een dedicated bak draait, wat ik niet vermoed bij TS) toch ook geen onbelangrijk perl proces. Daarnaast kunnen klanten natuurlijk ook gewoon Perl scripts uploaden en draaien. E.e.a. kan je natuurlijk wel afvangen wat ze daar wel of niet mee mogen/kunnen doen. Simpelweg zeggen dat Perl processen die draaien vaak niks goeds betekend, is m.i. wat kort door de bocht..

Mijn opmerking over DirectAdmin/perl processen was ook geen "alleen en uitsluitend awstats" opmerking Er draaien er vast wel wat meer, echter kun je natuurlijk met een whitelist werken bij je check.. spamd / awstats.pl en misschien nog wat andere kunnen daarin.. mocht een klant een keer een legitiem perl script willen draaien dan krijg je daar een melding van, perl proces even controleren en zonodig opnemen in de whitelist.

(wij hebben geen klanten die perl processen draaien en bij alle bedrijven waar wij server management voor doen draaien er ook geen buiten de gebruikelijke)

Misschien dat Configserver CSF nog een idee is, een onderdeel hiervan heet LFD, wat je een email zal sturen als een script en/of programma te veel vooraf ingestelde recources gebruikt.

Ik zou sowieso nooit op 1 ding rekenen. Wij hebben ossec gewoon naast dingen zoals nagios, antispam, firewalls, virusscanning e.d. draaien.
Voor 1 server is dat goed te doen, maar dat zal je standaard op een dag wel een paar false-positives opleveren. Als je 100 servers hebt kom je dan alsnog om in de mail.
OSSEC is (bij dat aantal) dan prettig om 'erbij' te hebben omdat zijn notifications lekker makkelijk te parsen zijn. Zo kun je op basis van ossec's rules en levels eenvoudig automatisch acties ondernemen zoals een ip sitewide in de firewalls gooien van alle servers die aan de ossec main server gekoppeld zijn.
Leuk voor erbij dus