пятница, 21 сентября 2012 г.

OSSEC 2.7 - продолжаем патчить segfault

Проблемы с ossec 2.7, к сожалению, не закончились. Сегодня поймал просто сказочную багу.

Согласно документации настроил проверку логов, используя wilcards:
<localfile>
<log_format>apache</log_format>
<location>/var/log/nginx/*.log</location>
</localfile>


Разумеется, файлов с логами было довольно много, порядка 20-30 штук.
При попытке запустить ossec ловим segfault на вычитке конфигурации! Честно говоря, я был в шоке.
Убедился, что segfault вызывает именно наличие wildcard, и полез дебажить и читать исходники.

четверг, 20 сентября 2012 г.

OSSEC - система IDS. Опыт начинающего :): ossec-logcollector segfault

Проблема детектирования вторжения и/или атаки рано или поздно встает перед любым админом.
Существует много разных IDS, базирующихся на разных принципах. От простых анализаторов логов до сложных аппаратно-программных комплексов.

Передо мной, собственно, поставили достаточно четкую задачу. Нужно пройти PCI DSS, в частности, решить проблему с широко известными в узких кругах пп.10.5 и 11.5 :)

Серверов много. Поэтому очень желательно решение с централизованным управлением и отчетами. Есть, конечно, коммерческие решения. Но они весьма и весьма недешевы. С другой стороны, меня заверили, что было немало прецедентов прохождения PCI с использованием OSSEC - Open Source Host-based Intrusion Detection System. Поэтому, закатав рукава, беремся за работу.

За основу была взята версия 2.7-beta. Выбор, может конечно, показаться несколько странным, но версия 2.6 имела ряд недостатков конкретно для существующего окружения и показала себя местами весьма нестабильной.