Monitorando um Servidor sob ataque através de um terminal remoto

1

Eu tenho este servidor Debian que está constantemente sob ataque, como mostrado no arquivo /var/log/auth.log .

Eu queria saber se há boas práticas de monitoramento por meio do envio de todos os arquivos de log importantes para um endpoint remoto por meio de rsync ou algo da mesma família. Tenho certeza de que existem administradores muito mais experientes que provavelmente chegaram a melhores ideias para fazer isso, por isso estou aberto a todos os tipos de ideias.

    
por zotherstupidguy 18.06.2013 / 06:09

1 resposta

1

É sempre uma boa ideia enviar seus registros para algum lugar seguro, e há algumas maneiras diferentes de fazer isso.

O mais básico é fazer com que o seu daemon de syslog o faça por você. Para um% normalsyslog, você pode adicionar algo assim ao seu /etc/syslog.conf :

*.debug        @your.remote.server.address

Depois, você pode configurar o daemon syslog (e seu firewall) na outra extremidade para aceitar e armazenar eventos registrados.

As desvantagens disso são: (a) os logs são enviados no clear e (b) o syslog usa o UDP por padrão, portanto, não é garantido que seus logs cheguem (embora provavelmente venham!). Você poderia mitigar (a) enviando-os por um túnel criptografado para o seu servidor de log.

Uma solução mais abrangente é o logstash , que enviará seus registros para um servidor central para indexação e armazenamento. É um pouco de trabalho para configurar, e é realmente adequado para uma situação onde você tem muitos logs de servidores para coletar, ou você quer ser capaz de fazer transformações complexas e parsing no caminho.

    
por 18.06.2013 / 10:53