Анализ Apache Log-файла

Разве ни кто не знает?

Webalizer просматривает журналы веб-серверов различных форматов и создаёт в HTML-формате отчёты об их использовании для просмотра в браузере. Webalizer создаёт годовую, месячную, дневную и часовую статистику. В месячных отчётах могут отражаться различные данные: использование в целом, ежедневное и почасовое использование, посещаемые сайты, адреса (URL), браузеры, рефералы и страны. Webalizer гибко настраивается через параметры командной строки или файл настроек.

Спасибо, это я знал. Мне хотелось бы совершенствуя свои знания regexp'ов да и просто системного программирования, самому анализировать логи. Без использования стороннего софта.

А не знаете-ли, существуют ли документы, где описываются типичные атаки или нестандартные примеры логов веб-сервера?

Искал по теме, но что-то результат не достиг :(

Просто поставь IDS, например snort. В логи не всегда вообще пишется что нибудь об атаке. Ну, например, SYN-сканирование ты даже не заметишь в логах апача.

Спасибо за советы!!

Иди лучше на кошках тренируйся (С). Операция Ы, итд

PS: Придется тренироваться на чем-нибудь другом :)

Есть. logwatch какой-нить. А ещё лучше поставь что-нить типа mod_security.

Ну и самый лучший вариант: использовать безопасное ПО. Я даже не смотрю, всё работает с 2005 года от аварии до аварии в дц.

>Ну и самый лучший вариант: использовать безопасное ПО.

А как быть с дырявыми цмсками?

Не использовать их :)

>Не использовать их :)

А вот это как раз обычно от админа не зависит, ибо используют их клиенты. Безопасность же сервера в целом приходится обеспечивать админу.

Собсно, я интересуюсь твоим мнением о перспективных методах изоляции пользователей друг от друга и от системы. Особенно интересует практический опыт применения SELinux и его аналогов.

Юзеров друг от друга легко изолировать правами. Использовать selinux итп имеет смысл когда у юзера есть несколько приложений которые надо изолировать друг от друга. Правил профили apparmor, работает нормально :).

А selinux принципиально игнорирую, это bloatware.

>Юзеров друг от друга легко изолировать правами.

Права, конечно, хорошо, но хочется дополнительной безопасности на случай, если через дыру в цмске закинут сначала шеллкод, потом тулчейн, а потом и рутовый сплойт соберут (допустим, с критическим обновлением ядра дистростроители притормозили).
Насколько я понимаю, selinux может _в некоторых случаях_ ограничить возможность запуска сплойта, а технологии вроде openvz и lxc _иногда_ могут ограничить ущерб от его применения.

>Правил профили apparmor, работает нормально :)

Советовался со знакомыми ребятами из одной серьезной конторы, которые этим занимаются. Они советуют брать именно selinux, т.к. apparmor очень примитивный и негибкий.
Применительно к apparmor есть два вопроса:
1. На какой системе его юзаешь? На убунте или на других?
2. Какие именно приложения ограничиваешь с его помощью?

Кроме как на убунте и сусе оно нигде из коробки не работает, а самому прикрутить это сдохнуть можно. Щас уже ничего не ограничиваю, правил профиль mysql и bind чтобы специфичные вещи заработали. В общем, с системными настройками запускалось.

Щас на дебиане серваки кручу с разделением по виртуалкам.

Они советуют брать именно selinux

Чую они rhel/centos/etc пропагандируют.

>Кроме как на убунте и сусе оно нигде из коробки не работает

Возможно, скоро оно и на сусе работать не будет
http://etbe.coker.com.au/2008/08/23/apparmor-is-dead/

Особенно впечатлил блог бывшего главного разработчика аппармора: http://blogs.msdn.com/crispincowan/default.aspx

Чую они rhel/centos/etc пропагандируют.

Ну да, в красношапках SELinux неплохо настроен из коробки. Но в силу ряда причин на хостинговых лошадках я планирую использовать в основном дебиан.

Щас на дебиане серваки кручу с разделением по виртуалкам.

Я уже думал об этом, но пришел к выводу, что создавать по виртуалке на каждый сайт больно накладно. А сколько их у тебя и какая система виртуализации?