imported>Mbraun: /* Snort */

2012-06-12T08:20:36Z

Snort

Neue Seite

[[Kategorie:Skin:NRWBP]]
{{Navigationsleiste_Technik}}

= Status E-Mails von Systemdiensten =
Um Probleme oder Veränderungen an Systemen frühzeitig zu erkennen, werden regelmäßig verschiedene Parameter abgefragt und die Administratoren per E-Mail benachrichtigt. Folgende Dienste werden dazu eingesetzt:

* Logwatch
* Denyhosts
* Tripwire
* Snort

== Logwatch ==
Logwatch überprüft Einträge in Logfiles und schickt eine Auswertung dazu im Intervall von 24 Stunden an folgende E-Mail Adresse:
* logwatch@mail.piratenpartei-nrw.de

Um diese E-Mails zu erhalten, muss man seine E-Mail Adresse auf mail. in der Datei /etc/aliases hinterlegen, sich für den Rollenaccount "logwatch" eintragen und die Konfiguration neu schreiben.
$ vim /etc/aliases
# Role Accounts
logwatch: benutzer1, benutzer2, benutzer3, NeuerBenutzer

# User Accounts
benutzer1: benutzer1@piratenpartei-nrw.de
NeuerBenutzer: meine@mailadresse.de

$ newaliases

Die Empfängeradresse für Logwatch kann wie folgt geändert werden:
$ vim /usr/share/logwatch/default.conf/logwatch.conf
MailTo = logwatch@mail.piratenpartei-nrw.de

== DenyHosts ==
DenyHosts überwacht Verbindungsversuche per ssh auf access., blockiert auffällige Benutzer und schickt eine Auswertung dazu im Intervall von 24 Stunden an folgende E-Mail Adresse:
* security@mail.piratenpartei-nrw.de

Um diese E-Mails zu erhalten, muss man seine E-Mail Adresse auf mail. in der Datei /etc/aliases hinterlegen, sich für den Rollenaccount "security" eintragen und die Konfiguration neu schreiben.
$ vim /etc/aliases
# Role Accounts
security: benutzer1, benutzer2, benutzer3, NeuerBenutzer

# User Accounts
benutzer1: benutzer1@piratenpartei-nrw.de
NeuerBenutzer: meine@mailadresse.de

$ newaliases

Die Empfängeradresse für DenyHosts kann wie folgt geändert werden:
$ vim /etc/denyhosts.conf
ADMIN_EMAIL = security@mail.piratenpartei-nrw.de

== Tripwire ==
Tripwire untersucht Änderungen am Dateisystem die möglicherweise durch einen Angriff passiert sind und schickt eine Auswertung dazu im Intervall von 24 Stunden an folgende E-Mail Adresse:
* security@mail.piratenpartei-nrw.de

Um diese E-Mails zu erhalten, muss man seine E-Mail Adresse auf mail. in der Datei /etc/aliases hinterlegen, sich für den Rollenaccount "security" eintragen und die Konfiguration neu schreiben.
$ vim /etc/aliases
# Role Accounts
security: benutzer1, benutzer2, benutzer3, NeuerBenutzer

# User Accounts
benutzer1: benutzer1@piratenpartei-nrw.de
NeuerBenutzer: meine@mailadresse.de

$ newaliases

Die Empfängeradresse für Tripwire kann wie folgt geändert werden:
$ vim /etc/tripwire/twcfg.txt
GLOBALEMAIL =security@mail.piratenpartei-nrw.de
$ twadmin --create-cfgfile -S site.key /etc/tripwire/twcfg.txt

== Snort ==
Snort arbeitet als Intrusion Prevention System, erkennt Angriffsversuche und schickt eine Auswertung dazu im Intervall von 24 Stunden an folgende E-Mail Adresse:
* security@mail.piratenpartei-nrw.de

Um diese E-Mails zu erhalten, muss man seine E-Mail Adresse auf mail. in der Datei /etc/aliases hinterlegen, sich für den Rollenaccount "security" eintragen und die Konfiguration neu schreiben.
$ vim /etc/aliases
# Role Accounts
security: benutzer1, benutzer2, benutzer3, NeuerBenutzer

# User Accounts
benutzer1: benutzer1@piratenpartei-nrw.de
NeuerBenutzer: meine@mailadresse.de

$ newaliases

Die Empfängeradresse für Snort kann wie folgt geändert werden:
$ /etc/snort/snort.debian.conf
DEBIAN_SNORT_STATS_RCPT="security@mail.piratenpartei-nrw.de"

NRW:Arbeitsgruppe/Technik/Dokumentation/Monitoring/Statusmails - Versionsgeschichte

imported>Mbraun: /* Snort */