f777
Anmeldungsdatum: 2. November 2019
Beiträge: Zähle...
|
Hallo, heute hab ich einen guten Teil des Tages damit verbracht mich mit dem Thema Logüberwachung und Monitoring auseinanderzusetzen. Aber so richtig schlau bin ich nicht geworden. Der Königsweg scheint wohl eine Kombination aus Elasticsearch, Logstash und Kibana zu sein. Allerdings scheint mir das für meine Ansprüche etwas überdimensioniert.
Mein Setup besteht aus 2 Servern mit jeweils drei Diensten und ein paar Webapplikationen. Davon hätte ich gerne die Logs an einer zentralen Stelle, und würde sie auch dort gerne auswerten. Uuuund das ganze sollte wenn möglich auf einem heimischen Raspberry Pi laufen 😬. Zwar hab ich rausgefunden, dass man Rsyslog so konfigurieren kann, dass es seine Nachrichten über das Netzwerk verschickt, aber dann fehlen mir immer noch die Logs der Webapplikationen und die Auswertung. Für das Monitoring könnte ich Munin nehmen, ist zwar eigentlich auch schon überdimensioniert aber was passenderes habe ich bisher nicht gefunden. Wie macht ihr das so? Nehmt ihr eine der ganz großen Lösungen auch für kleine Setups? Oder was gibt es sonst noch für Möglichkeiten? Viele Grüße, Frank Moderiert von Cruiz: Dieses Thema ist verschoben worden. Bitte beachte die als wichtig markierten Themen („Welche Themen gehören hier her und welche nicht?“)!
|
ChickenLipsRfun2eat
Anmeldungsdatum: 6. Dezember 2009
Beiträge: 12067
|
Hallo! Für meinen Heimknecht und die VMs mache ich das tatsächlich ganz banal mit grep, less und Aliasen. Emails lasse ich mir lediglich von cron schicken, "falls mal was ist".
|
f777
(Themenstarter)
Anmeldungsdatum: 2. November 2019
Beiträge: Zähle...
|
ChickenLipsRfun2eat schrieb: Für meinen Heimknecht und die VMs mache ich das tatsächlich ganz banal mit grep, less und Aliasen. Emails lasse ich mir lediglich von cron schicken, "falls mal was ist".
Ja, das ganze weiterhin manuell zu machen wäre evtl. auch eine Alternative, wenn ich nicht so faul wäre und das nicht immer wieder vertrödeln würde. Im Moment lasse ich mir per Logwatch die Zusammenfassung einmal am Tag zuschicken, aber wirklich zufrieden bin ich mit der Lösung halt irgendwie nicht. Das Problem das mir mit am meisten Kopfzerbrechen macht, ist halt das ich es auf die Art nie mitbekommen würde wenn der Rechner (eigentlich sind es VPS) geknackt wird oder er aus irgendwelchen Gründen Offline geht. Vieleicht mache ich mir da wirklich zu viel Gedanken, und die tägliche Logzusammenfassung reicht 😕.
|
ChickenLipsRfun2eat
Anmeldungsdatum: 6. Dezember 2009
Beiträge: 12067
|
Logwatch hatte ich auch mal drauf, war mir aber viel zu viel Info für das was ich wissen muss. f777 schrieb: Das Problem das mir mit am meisten Kopfzerbrechen macht, ist halt das ich es auf die Art nie mitbekommen würde wenn der Rechner (eigentlich sind es VPS) geknackt wird oder er aus irgendwelchen Gründen Offline geht.
Da du zwei Server hast, könnten die sich ja gegenseitig kontrollieren; und sobald einer von beiden offline ist dir ne Email zukommen lassen. Und ob ein System "geknackt" wird - das ist denke ich mehr als schwer abzufangen. Überdenke dein Design, deinstalliere alles, was du nicht unbedingt brauchst, bleib bei aktuellen Sicherheitslücken aufmerksam, vermeide nach Möglichkeit "anfällige" CMS wie WordPress, etc., erlaube ssh nur über PublicKeys, richte ausreichend Benutzer ein, damit nicht einer Zugriff auf alles hat, fail2ban hilft auch, … das übliche halt. Falls du sehr paranoid bist, kannst du dir ja auch ein zusätzliches Log anlegen, welche Verbindungen so über den Tag zustande kamen, bspw. mit ss . Welche Dienste laufen denn bei dir, die dir das Gefühl geben unsicher zu sein?
|
f777
(Themenstarter)
Anmeldungsdatum: 2. November 2019
Beiträge: 11
|
ChickenLipsRfun2eat schrieb: Logwatch hatte ich auch mal drauf, war mir aber viel zu viel Info für das was ich wissen muss.
Es geht. Allerdings muss ich zugeben, dass ich da auch nicht jeden Tag drauf schaue. Aber irgendwie immer wieder ganz lustig zu sehen das so ein Server im Internet quasi unter Dauerbeschuss steht. ChickenLipsRfun2eat schrieb: Und ob ein System "geknackt" wird - das ist denke ich mehr als schwer abzufangen.
Das ist wohl leider wahr. Ich hätte mir halt erhofft mit zentral gespeicherten Logs eher Hinweise zu bekommen sollte es wirklich mal jemand ernsthaft versuchen auf einen Server drauf zukommen. Bzw. das ich es im Ernstfall zu mindestens mitbekomme und dann entsprechend reagieren kann.
Welche Dienste laufen denn bei dir, die dir das Gefühl geben unsicher zu sein?
Auf dem einen Server läuft Postfix und Dovecot (und Openssh natürlich). Auf dem anderen läuft ein Apache mit einer Contao Installation und einer (in Sicherheitsdingen nicht sehr Vertrauen erweckenden) Webanwendung, die allerdings hinter einer HTTP Basic Auth steckt, welche mit fail2ban abgesichert ist. Und neuerdings eine Jitsi-Meet Instanz (https://jitsi.org/jitsi-meet/). Das Webverzeichnis davon steckt zwar auch hinter Basic Auth, allerdings muss Jitsi-Meet auch auf Port 4443 horchen. Falls es interessiert, eine Übersicht darüber wie Jitsi-Meet aufgebaut ist gibt's hier: https://github.com/jitsi/jitsi-meet/blob/master/doc/manual-install.md#network-description. Per iptables dürfen auf dem Server nur ssh, http, https und halt Port 4443 Verbindungen annehmen. Unsicher bin ich mir da vor allem bei Jitsi. Schon alleine durch die Tatsache, dass die (unnötigerweise) Port 8888 weltweit aufmachen was auch nirgendwo so richtig dokumentiert zu sein scheint.
|
ChickenLipsRfun2eat
Anmeldungsdatum: 6. Dezember 2009
Beiträge: 12067
|
f777 schrieb: …irgendwie immer wieder ganz lustig zu sehen das so ein Server im Internet quasi unter Dauerbeschuss steht.
Naja, es geht. Web- und Mailserver sind aber tatsächlich unter Dauerfeuer. Letzteres habe ich glücklicherweise nicht ☺ Falls du dein Klientel kennst, könntest du auch gewisse IP-Bereich komplett sperren, in den Logs sind ja gewisse Dauergäste auszumachen. Sowas wie ip route add blackhole 130.0.0.0/10 beispielsweise. Allerdings ist das ganze nicht ganz unproblematisch und unter ipv6 keine Lösung.
…Unsicher bin ich mir da vor allem bei Jitsi. Schon alleine durch die Tatsache, dass die (unnötigerweise) Port 8888 weltweit aufmachen was auch nirgendwo so richtig dokumentiert zu sein scheint.
Kenne ich leider nicht. Aber du kannst ja jeglichen "Authentifizierungs-Spam", also das Bruteforcing, mit fail2ban abfangen, wenn du dir eigene Regeln schreibst. Aber vielleicht äußert sich hier ja noch jemand mit mehr Server-Erfahrung, speziell wegen des Mailservers. Hab ich mich bisher noch nicht drangetraut ☺
|
f777
(Themenstarter)
Anmeldungsdatum: 2. November 2019
Beiträge: 11
|
ChickenLipsRfun2eat schrieb: Naja, es geht. Web- und Mailserver sind aber tatsächlich unter Dauerfeuer.
Gerade bei dem Mailserver ist überraschend wenig los. Das meiste sind "nur" Portscans. Leute die versuchen Spam darüber zu versenden hab ich eher so 1-2 am Tag. Hatte mit mehr gerechnet 😛
Der ist allerdings auch noch nicht allzu lange online.
|
user_unknown
Anmeldungsdatum: 10. August 2005
Beiträge: 17552
Wohnort: Berlin
|
Ist journalctl nicht seit systemd das Mittel der Wahl?
|
ChickenLipsRfun2eat
Anmeldungsdatum: 6. Dezember 2009
Beiträge: 12067
|
user_unknown schrieb: Ist journalctl nicht seit systemd das Mittel der Wahl?
Jein. Das ist eine Erleichterung, da man nicht mehr dmesg, syslog, etc. einzeln anfassen muss, um bspw. seine iptables-"Müllabfuhr-Routinen" anzuzeigen. Andere wie der Apache-Log müssen trotzdem noch ausgewertet werden. Und journalctl ungefiltert mag ja auch keiner lesen ☺
|
f777
(Themenstarter)
Anmeldungsdatum: 2. November 2019
Beiträge: 11
|
user_unknown schrieb: Ist journalctl nicht seit systemd das Mittel der Wahl?
Afaik hat das systemd-Log auch von Haus aus keine Möglichkeit die Logs auf einem zentralen Rechner zu sammeln. Dafür könnte man aber bspw. systemd sagen, das es die Logs an rsyslogd weiterreichen soll, und dieses versendet die Logs dann über das Netzwerk. Vermutlich versuch ich das auch so in der Art. Sogar Apache und wie es scheint auch jitsi-meet kann man beibringen rsyslogd zu verwenden. Und auf dem Logserver läuft dann zusätzlich Logwatch, welches mir einmal pro Tag eine Zusammenfassung schickt. Bleiben noch die Logs der Webapps die nicht regelmäßig ausgewertet werden 😕. Und ich muss halt, wenn ich etwas genauer wissen möchte, manuell per grep und Co. in den Logs kramen. Hatte nur gehofft, das es etwas benutzerfreundlicher geht, ohne dass man gleich einen gigantischen Softwarestack installieren muss.
|
seahawk1986
Anmeldungsdatum: 27. Oktober 2006
Beiträge: 11179
Wohnort: München
|
f777 schrieb: Afaik hat das systemd-Log auch von Haus aus keine Möglichkeit die Logs auf einem zentralen Rechner zu sammeln.
Das ginge schon:
|