Vou sugerir algumas ferramentas diferentes para alertar, monitorar e proteger sua infraestrutura.
Tripwire é o padrão para integridade de arquivos, com concorrentes de OSS como Samhain. As soluções de integridade de arquivos informam sobre violação do sistema de arquivos e de arquivos com integridade criptográfica.
Mod Security é um firewall de aplicativo da Web de código-fonte aberto comumente usado com o Apache. Um webapp firewall pode ajudar na proteção de seus aplicativos php.
Snort e BRO são IDS gratuitos. Você pode facilmente obtê-los através do Security Onion gratuito. Snort é baseado em assinatura e Bro é baseado em comportamento.
O Splunk pode ser uma boa solução de monitoramento de log para tudo. Ele vem em versões gratuitas e comerciais com conjuntos de recursos alterados. Você pode usar o Security Onion em conjunto com o Splunk.
O ideal é que você queira executar seus serviços de segurança em uma caixa separada dos hosts que estão sendo monitorados. Dependendo do tamanho da infraestrutura que está sendo monitorada, isso pode ser uma caixa de extremidade muito baixa ou apenas uma máquina virtual.
Se você ainda não o fez, recomendo que você endureça toda a sua infraestrutura (rede, bancos de dados, etc) também. DISA STIG, CIS, SRGs da NSA, coisas assim. Você pode criar um script BASH de hardening / auditoria para executar todos os dias em todos os hosts e enviar uma cópia dos resultados criptografados. Uma diferença depois, e você sabe o que mudou.
Como alternativa, uma solução mais moderna para fazer algumas das mesmas pode incluir uma solução de gerenciamento de configuração automatizável, como fantoche, chef ou cfengine.
Meus amigos que testam a caneta adoram transformar uma fraqueza do banco de dados em um host inteiro ou rede, portanto, tenha em mente o endurecimento proativo, o mínimo privilégio, a minimização e, quando tudo mais falhar, uma boa empresa de resposta a incidentes. p>