foexle
Kaiser
Hallo Leute,
würde gerne ein bisschen brainstorming machen, um evtl. einen besseren Lösungsansatz zu bekommen als den, den ich jetzt habe.
Hintergrund:
Ich betreue > 100 Server, die aber leider sehr verstreut sind. Damit meine ich, das viele bei Hetzner andere bei Thomas Krenn und bei Serverloft stehen.
Nun hat man ja täglich die üblichen Angriffe, wie Bruteforce Attacken auf ssh oder ddos usw.
Allerdings weiß auch jeder, das wenn es kein Skript Kiddy ist, das ganze ein wenig tiefer geht. So nun bieten da ja Snort oder Acid schöne Mechanismen um sowas zu erkennen.
Allerdings da die Server nicht an einem zentralen Switch/Router/Gateway hängen, ist es natürlich auch nicht möglich den Netzverkehr zu überwachen, außer das ich auf jedem Server dies lokal mache.
Was natürlich 2 große Nachteile hat.
Zum einen, das der Administrative Aufwand sehr hoch ist (was natürlich mit anderen Mechanismen Minimierbar ist)
und außerdem, das wenn nun mal ein Server kompromitiert wurde, der Snort/Acid auch nicht mehr vertrauenswürdig ist.
Fallen euch evtl noch anderen Mechanismen ein ? Da gibts natürlich noch denyhosts (die sowieso überall drauf ist) und noch failtoban.
Bei Failtoban habe ich das Problem, das ich das auch auf alle vServer installieren müsste und das ist nicht machbar.
Evtl. fällt ja wem noch was anderes ein
Grüße
würde gerne ein bisschen brainstorming machen, um evtl. einen besseren Lösungsansatz zu bekommen als den, den ich jetzt habe.
Hintergrund:
Ich betreue > 100 Server, die aber leider sehr verstreut sind. Damit meine ich, das viele bei Hetzner andere bei Thomas Krenn und bei Serverloft stehen.
Nun hat man ja täglich die üblichen Angriffe, wie Bruteforce Attacken auf ssh oder ddos usw.
Allerdings weiß auch jeder, das wenn es kein Skript Kiddy ist, das ganze ein wenig tiefer geht. So nun bieten da ja Snort oder Acid schöne Mechanismen um sowas zu erkennen.
Allerdings da die Server nicht an einem zentralen Switch/Router/Gateway hängen, ist es natürlich auch nicht möglich den Netzverkehr zu überwachen, außer das ich auf jedem Server dies lokal mache.
Was natürlich 2 große Nachteile hat.
Zum einen, das der Administrative Aufwand sehr hoch ist (was natürlich mit anderen Mechanismen Minimierbar ist)
und außerdem, das wenn nun mal ein Server kompromitiert wurde, der Snort/Acid auch nicht mehr vertrauenswürdig ist.
Fallen euch evtl noch anderen Mechanismen ein ? Da gibts natürlich noch denyhosts (die sowieso überall drauf ist) und noch failtoban.
Bei Failtoban habe ich das Problem, das ich das auch auf alle vServer installieren müsste und das ist nicht machbar.
Evtl. fällt ja wem noch was anderes ein
Grüße