© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
Am 20.04.2013 18:32, schrieb Oliver Fromme:
> Der Thread ist schon ein paar Tage alt, aber ich wollte hier
> noch das Stichwort "IDS" einwerfen ...
>
> bernhard(at)gtkx.de wrote:
> > charly root versendet täglich, wöchentlich emails mit infos.
> >
> > wo kann ich einstellen was alles gesendet wird und was nicht?
>
> Das kann man nicht einstellen (aber: siehe ganz unten).
> Man kann nur einstellen, was alles ausgeführt werden soll,
> nämlich in der Datei /etc/periodic.conf. Details findest
> Du in der Manpage, wie Polytropon schon schrieb.
>
> > Zum Beispiel interessieren mich nur cracker angriffe und das so schnell
> > als möglich
>
> Das ist *nicht* der Sinn und zweck des periodic-Frameworks,
> zu dem "daily run", "weekly run" und "monthly run" gehören.
> Diese Cron-Jobs führen in erster Linie Wartungsaufgaben
> durch, von denen einige auch sicherheitsrelevant sein
> können, die aber keinesfalls ein IDS ersetzen können.
>
> IDS steht für "Intrusion Detection System", also Systeme,
> die potentielle Angriffe erkennen können und melden.
>
> Es gibt z.B. lokale IDS (auch "host-based" genannt), die
> Veränderungen an Dateien erkennen. Klassiker sind Tripwire
> und Samhain, aber auch mit dem im Basissystem befindlichen
> Tool mtree kann man sowas bewerkstelligen.
>
> Dann gibt es remote IDS (auch "network-based"), die auf
> Netzwerk-Interfaces lauschen und verdächtige Pakete bzw.
> Gruppen von Paketen feststellen können.
>
> Im weitesten Sinne fallen unter IDS auch Tools, die "live"
> Log-files mitlesen und nach verdächtigen Mustern absuchen.
> In diese Kategorie fällt z.B. das Tool Logsurfer.
>
> Aus der Formulierung Deiner Frage ist zu erkennen, dass Du
> keine genaue Vorstellung davon hast, wie "Cracker-Angriffe"
> überhaupt aussehen und wie man damit umgehen sollte.
> Vielleicht solltest Du Dir mal ein gutes Buch oder Tutorial
> zu dem Thema zu Gemüte führen.
>
> Noch ein allgemeiner Hinweis zum "daily run output" bzw.
> zum periodic-Framework: Nachdem mir die ganzen Cron-Mails
> auch irgendwann mal auf den Senkel gingen, habe ich mal
> einen Filter dafür geschrieben, so dass ich jetzt nur noch
> die relevanten Infos daraus erhalte. Vielleicht ist das
> für den einen oder anderen auf dieser Liste auch nützlich.
> Hier ist der Link:
>
> http://www.secnetix.de/olli/doc/expecto/
>
> Gruß
> Olli
>
sorry, dass ich so spät antworte.
bevor ich nun 1000 mal scripte ändere, hab ich ein Frage. Gibt es eine
Möglichkeit die syslog meldungen an einen syslog server zu schicken?
Wenn ja, wie funktioniert das? Ich würde dann einen der 4 Server als
syslog server einrichten und müsste dann nicht 4 mal die scripts
anpassen. Außerdem interessiert mich diese option.
Gruß bernhard
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Thu 25 Apr 2013 - 22:27:00 CEST