NAS-Speicher mit einer Kapazität von einigen Dutzend Terabyte, wie sie sich für mittelständische Anwender eignen, nimmt die ADMIN-Redaktion in der Ausgabe ... (mehr)

Webserver einrichten

Zwar ist das Webinterface jetzt installiert und konfiguriert, es fehlt aber noch der passende Webserver. Prelude bringt dazu einen eigenen, kleinen Webserver mit, den der Admin auf Wunsch mit »/usr/bin/prewikka-httpd« starten kann. Der Prewikka-Webserver nimmt Anfragen per Default auf Port 8000 entgegen. Läuft dagegen auf dem Host bereits ein Apache, wird der Admin diesen in der Regel bevorzugen. Passende Virtual-Host-Konfigurationsdateien für ein CGI-Setup (Listing 3) finden sich freundlicherweise im Prelude-Wiki unter [4].

Listing 3

Virtual-Host-Setup

 

Der Admin muss also nur seine Apache-Konfigurationsdatei um den entsprechenden Code erweitern. Bei Ubuntu verweist »/etc/apache2/apache2.conf« per include-Directive auf das Unterverzeichnis »/etc/apache2/sites-enabled« und von dort via Symlink auf »/etc/apache2/sites-available« , wo dann für jeden virtuellen Host eine eigene Konfigurationsdatei bereitliegt. Bei Ubuntu ist bekanntlich sogar der Default-Webserver als virtueller Host (»/etc/apache2/sites-enabled/000-default« ) realisiert. Außerdem ist bei Ubuntu per Default die Directive »ServerName« nicht gesetzt. Bei einem Mod-Python-Setup sollte der Admin außerdem daran denken, das Paket »libapache2-mod-python« zu installieren. Nach einem Neustart oder Reload des Apachen mit »sudo /etc/init.d/apache2 reload« oder »sudo service apache2 restart« , sollte das Prewikka Webinterface unter http://localhost/prewikka zur Verfügung stehen.

Sensoren

Laufen Prelude-Manager und Webinterface, wird es Zeit, den ersten Sensor zu installieren. Der mitgelieferte Log-Agent Prelude-LML kann zum Beispiel verschiedenste Log-Dateien auswerten. Prelude-LML lässt sich dazu so konfigurieren, dass er die Rolle eines zentralen Syslog-Servers übernimmt. Der Admin muss seine Log-Erzeuger dann im Einzelfall nur für die Zusammenarbeit mit einem Syslog-Dienst wie Prelude-LML konfigurieren. Prelude-LML wertet dann sämtliche Log-Meldungen auf Basis seiner Regelwerke aus und sendet die gewonnenen Informationen an den Prelude-Manager. Prelude-LML erfasst Logs typischer Unix-Dienste, etwa des Paketfilters (IPTables) oder von Routern und Switches. Im Test installieren wir Prelude-LML auf der gleichen Maschine, auf der auch der Prelude-Manager läuft. Der spätere Praxis-Einsatz würde sämtliche Agenten sinnvollerweise auf den zu überwachenden Hosts respektive in den zu überwachenden Netzwerksegmenten betreiben. Prelude-LML findet sich in den Paketquellen aller gängigen Distributionen; das Installieren kann also auch hier wahlweise via Frontend oder per

»apt-get install prelude-lml«

erfolgen. Nach der Installation muss der Admin den Sensor beim Prelude-Manager registrieren, wozu wiederum das Kommando »prelude-admin« zum Einsatz kommt, diesmal mit der Option »register« . Beim Registrieren legt der Prelude-Manager für jeden Sensor einen eindeutigen Identifier sowie ein Verzeichnis an. Außerdem generiert die »register« -Option gegebenenfalls erforderliche RSA-Keys, sollten Sensor und Manager auf unterschiedlichen Hosts laufen oder ein Remote Prelude Manager zum Einsatz kommen. Der »register« -Prozess speichert die benötigten Informationen im zugehörigen Sensor-Profil, dessen Name der Admin frei wählen kann. Die allgemeine Syntax für das »register« -Kommando lautet:

 

Der »profil name« ist der Name des zu installierenden Sensors, im Beispiel »prelude-lml« . Der Parameter »requested permission« richtet sich nach dem jeweiligen Sensor. Für gewöhnlich erfordert ein Sensor mindestens Schreib-Berechtigungen (»w« ) für IDMEF-Nachrichten. Optional besteht die Möglichkeit, dass der Sensor administrative Kommandos akzeptiert. Dafür genügt ein Leserecht, im Beispiel:

 

Das Kommando weist unter anderem darauf hin, dass der Admin an localhost einen Registration Server starten muss, wozu er am besten ein zweites Terminal-Fenster nutzt, während das erste Fenster auf die Eingabe eines One-Shot-Passwortes wartet. Zum Starten des Registration Servers kommt ebenfalls das Kommando »prelude-admin« zum Einsatz:

 

Das Kommando generiert einen Zufallswert, der im ersten Fenster als Einmalpasswort einzugeben ist. Der Sensor »prelude-lml« ist damit beim Prelude-Manager registriert und lässt sich mit

 

starten. Im Webinterface sollte sich dann feststellen lassen, dass der Sensor beim Prelude-Manager bekannt ist. Die eigentliche Konfiguration des Sensors erfolgt in der zugehörigen Konfigurationsdatei »/etc/prelude-lml/prelude-lml.conf« . Hier kann der Admin beispielsweise gezielt festlegen, welche welche der Log-Dateien der Prelude-Dienst LML als zentraler Syslog-Server überwachen soll.

comments powered by Disqus

Artikel der Woche

Systeme mit Vamigru verwalten

Auch wer nur kleine Flotten von Linux-Servern verwaltet, freut sich über Werkzeuge, die ihm diese Arbeit erleichtern. Vamigru tritt mit diesem Versprechen an. Wir verraten, was es leistet und wie Sie es in der eigenen Umgebung in Betrieb nehmen. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Container

Wie setzen Sie Container ein?

  • Gar nicht
  • Docker standalone
  • Docker mit Kubernetes
  • Docker mit Swarm
  • Docker mit anderem Management
  • LXC/LXD
  • Rocket
  • CRI-O auf Kubernetes
  • Container auf vSphere
  • Andere (siehe Kommentare auf der Ergebnisseite)

Google+

Ausgabe /2018

Microsite