View previous topic :: View next topic |
Author |
Message |
sd44 Apprentice
Joined: 21 Jul 2007 Posts: 277 Location: Nantes 44
|
Posted: Mon Jul 23, 2007 11:13 pm Post subject: |
|
|
salut !
je me permet d'orienter ce post sécurité vers le monitoring des logs (et perf ?)
je suis interressé si vous avez des progs sympa pour centraliser les log et autres(perf, graphique, etc), car l'idée vous l'aurez compris c'est d'avoir une machine sur le réseau qui surveille un peu tout ça (genre un petit ecran a coté de soi)
any idéa ? _________________ Pourquoi faire simple quand on peut faire compliqué ? |
|
Back to top |
|
|
sd44 Apprentice
Joined: 21 Jul 2007 Posts: 277 Location: Nantes 44
|
Posted: Tue Jul 24, 2007 10:52 pm Post subject: |
|
|
up
personne centralise ses logs ? ou monitoring ? _________________ Pourquoi faire simple quand on peut faire compliqué ? |
|
Back to top |
|
|
nico_calais l33t
Joined: 09 Jun 2005 Posts: 628 Location: Saint Julien en Genevois
|
Posted: Wed Jul 25, 2007 7:59 am Post subject: |
|
|
J'ai une machine qui fait un peu ça au taf...Elle se trouve sur un port du coeur de réseau qui est mis en monitoring.
Sur la machine, y a un ntop qui tourne. Il permet d'avoir une vue très générale du traffic qui passe ainsi que les machines qui ont emis ce traffic. Cela a permis de connaitre les heures, ainsi que les jours de pointe au niveau du traffic réseau. On a aussi pu diminiuer tout ce qui etait multicast, particulierement emis par nos imprimantes réseau. Un très bon outil pour savoir ce qui se passe sur son réseau.
Y a bien entendu un nagios (oreon) qui lui va plus se concentrer sur les serveurs et services les plus importants. En plus de donner l'etat actuel de ces derniers, il donne aussi pas mal de graphs interessants.
Pour parler plus de securité à proprement dit, il y a snort avec base pour un accès web. J'y mettrai pas ma main au feu. Bien que j'ai essayé de configurer snort au mieux, j'ai quand même peu d'experience là dessus. Mais ça fonctionne. ça m'est déjà arrivé de scanner certains serveurs, voir faire un ptit audit grandeur nature à coup de nessus et snort a clairement reperré les scans.
Il y a aussi un wireshark (obligé) pour sniffer tout le traffic réseau...ça a entre autres permis de voir qu'un prestatiaire faisait tournait un ftp dans le vide sur le serveur d'un autre prestataire. C'etait en fait un test de liaison mais moi, j'etais pas au courant...Cela m'a aussi ouvert les yeux à quel pint beaucoup d'applications ne securisaient pas l'envoi de leurs données...Sinon, cela permet aussi de voir pas à pas le traffic d'une machinne à un serveur par exemple afin d'essayer de déterminer s'il y a un pb réseau ou autre.
Il y a enfin des outils à la con comme nmap pour scanner une machine dont on pourrait avoir un "doute", nbtscan qui scanne les machines utilisant le protocole netbios et nous fait une belle petite liste avec le nom du user, le nom de la machine et l'addresse IP.
Le monitoring concerne surtout les 3 premiers points...
Sinon pour les logs, la solution toute bête dans un premier temps serait d'avoir quelques terminaux sur un bureaux connectés au(x) serveur(s) important(s) avec coup de tail -f etc... _________________ "Unix IS user friendly... It's just selective about who its friends are." Tollef Fog Heen tollef@add.no |
|
Back to top |
|
|
technick n00b
Joined: 25 Jul 2007 Posts: 18
|
Posted: Wed Jul 25, 2007 9:27 am Post subject: |
|
|
Bonjour à tous,
A vous lire je me rend compte du chemin qu'il me reste à parcourir sous linux, neanmoins je me permets de vous signaler que la securité informatique c'est aussi :
La securité physique des machines (porte fermée, systeme anti incendie, clim, etc...)
La securité physique des données (raid 5)
La securité logique des données (sauvegardes regulières, eloignement physique des sauvegardes)
La securité sur les alimentations electriques, des lignes de transmisions, etc..
ET un plan en cas de sinistre (impact, couts, etc...)
Bref, iptable ou pas, un vol du serveur est tout aussi possible qu'un vol de données
JCB (un autre |
|
Back to top |
|
|
sd44 Apprentice
Joined: 21 Jul 2007 Posts: 277 Location: Nantes 44
|
Posted: Wed Jul 25, 2007 5:16 pm Post subject: |
|
|
merci nico de ta reponse
j'ai installer ntop recement et ca a l'air pas mal, moi j'utilise surtout autoscan (http://autoscan.fr) pour voir tout les poste de mes different reseaux d'un click ainsi que les ports ouverts sur les machie etc, autoscan comporte aussi un client nessus et samba.
autoscan a aussi une fonction de notification pour savoir en permanance si une machine s'eteind et une fonction alerte anti-intrusion pour detecter les machines nouvelle qui se brancherai sur le reseau ...
niveau des logs je me tate pour essayer syslog en reseau et centraliser mes log sur une machine special _________________ Pourquoi faire simple quand on peut faire compliqué ? |
|
Back to top |
|
|
gglaboussole l33t
Joined: 17 May 2005 Posts: 641 Location: Monbalen (47),France
|
Posted: Wed Jul 25, 2007 5:53 pm Post subject: |
|
|
nico_calais wrote: | Sinon pour les logs, la solution toute bête dans un premier temps serait d'avoir quelques terminaux sur un bureaux connectés au(x) serveur(s) important(s) avec coup de tail -f etc... |
il ya encore mieux que tail -f : multitail
http://www.vanheusden.com/multitail/index.html
Dispo dans portage il permet d'avoir plusieurs tail -f dans un seul terminal...et de coloriser les entrées
Perso il tourne toujours sur un bureau "réservé logs" ou je vois en "live" /var/log/messages mais aussi mes logs de serveur ftp etc... _________________ On m'a dit que la terre tourne, alors j'attends que ma maison passe par ici... |
|
Back to top |
|
|
nico_calais l33t
Joined: 09 Jun 2005 Posts: 628 Location: Saint Julien en Genevois
|
Posted: Thu Jul 26, 2007 7:13 am Post subject: |
|
|
Je vais matter ça tiens
Je n'y avais pas pensé sur le coup, mais pourquoi ne pas utiliser aussi des gkrellms ou conky que l'on affiche sur un ecran dedié à coup de ssh -X
Je pense que c'est faisable chez soi où le nombre de machine est généralement restreint. ça l'est peut être moins en prod surtout selon la criticité des machines où l'on va peut être pas installer trop de caca _________________ "Unix IS user friendly... It's just selective about who its friends are." Tollef Fog Heen tollef@add.no |
|
Back to top |
|
|
geekounet Bodhisattva
Joined: 11 Oct 2004 Posts: 3772
|
Posted: Thu Jul 26, 2007 7:57 am Post subject: |
|
|
Plutôt que faire des SSH sur les machines à surveiller, le mieux est quand même de centraliser les logs en réseau par syslog-ng vers une machine dédiée, et monitorer avec celle là. Tu duplique aussi vers la tienne, et comme ça, plus besoin des SSH et tout.
Après pour surveiller les machines, je préfère plutôt un rapport journalier (qui pourrai être plus fréquent) sur ce tout ce qui a bougé sur la machine en 24h J'ai découvert que la FreeBSD a de base une série de scripts qui font tout ça (periodic), et c'est bien pratique Je reçois 2 mails de rapport chaque soir qui m'indiquent l'état des disques, du réseau, du firewall, les tentatives ratées de login, les modifications des fichiers /etc/passwd et /etc/group, les fichiers en u+s supplémentaires, les failles de sécu découverte ce jour, et j'en passe ... |
|
Back to top |
|
|
sd44 Apprentice
Joined: 21 Jul 2007 Posts: 277 Location: Nantes 44
|
Posted: Thu Jul 26, 2007 6:48 pm Post subject: |
|
|
ca a l'air pas mal ça !
si quelqu'un connait un prog sous gentoo pour ca je suis interessé ! _________________ Pourquoi faire simple quand on peut faire compliqué ? |
|
Back to top |
|
|
Alexis Developer
Joined: 25 Jun 2004 Posts: 241
|
Posted: Thu Jul 26, 2007 6:52 pm Post subject: |
|
|
ça fait un peu ce genre de choses. Faudrait ptet lui rajouter des modules pour faire les glsa-check par ex. |
|
Back to top |
|
|
anigel Bodhisattva
Joined: 14 Apr 2003 Posts: 1894 Location: Un petit bled pas loin de Limoges ;-)
|
Posted: Thu Jul 26, 2007 7:37 pm Post subject: |
|
|
geekounet wrote: | J'ai découvert que la FreeBSD a de base une série de scripts qui font tout ça (periodic), et c'est bien pratique Je reçois 2 mails de rapport chaque soir qui m'indiquent l'état des disques, du réseau, du firewall, les tentatives ratées de login, les modifications des fichiers /etc/passwd et /etc/group, les fichiers en u+s supplémentaires, les failles de sécu découverte ce jour, et j'en passe ... |
J'avais entrepris il y a déjà un moment de porter ces scripts très utiles vers Gentoo. Mais du temps a passé, et je suis encore loin du résultat que je voulais obtenir, par manque de temps principalement. Je viens d'uploader quand même les bricoles déjà opérationnelles, si des fois ça peut aider : le glsa-check dont parle Alexis plus haut fonctionne très bien, par exemple. _________________ Il y a 10 sortes d'individus en ce bas-monde : ceux qui causent binaire, et les autres. |
|
Back to top |
|
|
Tom_ Guru
Joined: 20 May 2004 Posts: 448 Location: France
|
Posted: Fri Jul 27, 2007 2:11 pm Post subject: |
|
|
Vraiment interessant ce thread!
J'ai une petite question ... Est-ce que certains d'entre vous utilisent le projet "hardened" sur des desktop ? Si oui, est-ce que ca a des conséquences au niveau de l'utilisation (en dehors de l'aspect sécurité)?
Merci d'avance. |
|
Back to top |
|
|
|
|
You cannot post new topics in this forum You cannot reply to topics in this forum You cannot edit your posts in this forum You cannot delete your posts in this forum You cannot vote in polls in this forum
|
|