logcheck-Meldungen auf selbem Server?

[jeltsch]

Hallo,

ich will logcheck verwenden, um mich über Auffälligkeiten auf meinem virtuellen Server informieren zu lassen. Wohin sollte ich die von logcheck generierten Mails schicken lassen?

Ich dachte zunächst an einen Account auf eben dem virtuellen Server, auf dem logcheck läuft. Aber ist nicht die Gefahr zu hoch, dass ein Einbrecher mir einfach die von logcheck generierte Warnmail löscht? Was ist vom Verschicken an einen Account auf einem anderen Mailserver zu halten?

Vielen Dank und viele Grüße!
Wolfgang

[Joe User]

Wenn Du dem Admin des anderen Servers mehr verstraust als Dir selbst, spricht nicht allzu viel dagegen ;)

[h0nig]

Um kurz zu fassen, hol dir ne web.de Addy , weil ich denke in ein RZ wird keiner einbrechen und dann alle Server nach deiner Email durchsuchen ..
.

EDIT: für die die nichts über web.de wissen , web.de hat nen eigenes Rechenzentrum :)

[dodolin]

Um kurz zu fassen, hol dir ne web.de Addy , weil ich denke in ein RZ wird keiner einbrechen und dann alle Server nach deiner Email durchsuchen ..

Na, wenn das bei denen so sicher ist wie bei GMX, dann bin ich ja beruhigt.

SCNR

PS: Ich vertrau da nur noch auf mich selbst...
Aber um nochmal aufs Thema zurückzukommen: Meine Logcheck Meldungen landen auch auf der selben Kiste. Ehrlich gesagt, verspreche ich mir von logcheck im Falle eines Einbruchs nicht viel. Es war aber schon mehrfach ganz hilfreich, um andere Probleme auf dem Server zeitnah zu bemerken.

[jeltsch]

Hallo wieder mal,

ich habe jetzt logcheck unter Debian GNU/Linux installiert und – siehe da – im Rahmen der Konfiguration wurde mein Problem angesprochen:

Warning: Although it is possible to give a remote email address, I recommend against it. When something goes wrong on the system, the SMTP daemon might also be unable to send mails.

[jeltsch]

Ehrlich gesagt, verspreche ich mir von logcheck im Falle eines Einbruchs nicht viel. Es war aber schon mehrfach ganz hilfreich, um andere Probleme auf dem Server zeitnah zu bemerken.

An welche "anderen Probleme" denkst du da?

[dodolin]

An welche "anderen Probleme" denkst du da?

Eigene Dummheit, z.B. ;)

Wenn nach Updates oder Ã?nderungen an der Konfiguration z.B. ein Dämon nicht mehr oder nicht mehr korrekt funktioniert.

[jeltsch]

Ehrlich gesagt, verspreche ich mir von logcheck im Falle eines Einbruchs nicht viel.

Welche Tools zur Einbruchserkennung würdest du empfehlen?

[dodolin]

Welche Tools zur Einbruchserkennung würdest du empfehlen?

Ich selbst nutz gar keines. ;)

Ich halte den Ansatz mit Prüfsummen für Binaries relativ erfolgversprechend, also sowas in der Art wie Tripwire. Auf einem "gewöhnlichen" Rootserver, wie er meist angeboten wird, hat man damit aber noch das Problem, wo man die Prüfsummen sicher aufbewahren kann...

Den Ansatz von Snort halte ich für eher nicht so geeignet, denn das funktioniert ja ähnlich wie ein Virenscanner, d.h. erkennt nur bekannte Angriffsmuster. Gegen bereits bekannte Angriffe sollte ein Server aber sowieso schon gefeit sein, IMHO.