Linux & PCI Security

Linux & PCI Security

logzilla 1

„Hoch skalierbare Daten Indizierung Service - bietet Ergebnisse in Sekunden, nicht Minuten!“

 

Table of Content

Inhalt

1       Über LogZilla. 2

2       Was ist Logzilla?.. 3

3       Warum brauchen Wir Logzilla?.. 3

4       Zurück in der Vergangenheit4

5       LogZilla in der Wildniss. 5

6       Fazit6

7       LogZilla and PCI DSS Complaints. 7

7.1        PCI Compliance. 7

7.1.1         Basic PCI Requirements. 8

8       Technical Reference Articles. 9

8.1        HttpOnly-Flag problem.. 9

8.2        Securing LogZilla’s openssh Configuration. 13

8.2.1         Ciphers. 13

8.2.2         DSA Hostkeys. 13

8.2.3         Creating strong RSA hostkeys. 14

8.2.4         Maintaining Virus and Malware Software. 14

8.2.5         Installing Malware/RootKit Scanner19

8.2.6         Accessing Logzilla through HTTPS (requirement for PCI DSS)20

8.2.7         LogZilla Upgrade 4.5.723 to 4.5.795 - PCI 3.1

 

. 21

1       Über LogZilla

In der heutigen, schnell wachsenden Technologie-Landschaft, investieren Unternehmen Millionen von Euro in die Verbesserung und Optimierung von Ihren Netzwerken und Ihrer Web-Präsenz. Das LogZilla Geschäftsmodell konzentriert sich gerade auf diese zentralen Schnittstellen in Ihrer IT Landschaft. Wir bemühen uns für die konsequente Verbesserung aller LogZilla visuellen und informativen Benutzeroberflächen, das Weitergeben von unserer außergewöhnlichen Qualität, Funktionalität und der hohen Geschwindigkeit wie unsere Produkte in Ihrer Umgebung laufen und betreut werden.

LogZilla’s Verpflichtung gegenüber unserer User Gemeinschaft wird durch eine immer steigende Anzahl von kodierenden Beiträgern zum LogZilla Projekt in die neusten Produktveröffentlichungen mit eingebunden. Dieser unkomplizierte Weg ermöglicht einen hohen Grad an Neuinitiative und best möglicher Reaktionszeit.

Wenn Sie zum ersten Mal Besucher unserer Website sind, Herzlich Willkommen!
Wir empfehlen Ihnen unser Enterprise-Produkt für einen 30-Tage-Test herrunter zu laden. Sagen Sie uns was Sie von unserem Produkt halten.

Sind Sie ein Benutzer, der eine unserer freien Lizenzen hat und Ihre Bedürfnisse sind gewachsen, dann begrüßen wir Sie zurück! Wir freuen uns über Ihre Nutzung unserer Produkte und versichere Ihnen daß wir ständig jeden Tag daran arbeiten Ihre Wünsche in LogZilla umzusetzen und dadurch unser Produkt für Sie immer attraktive bleiben wird!

Wir wissen dass Ihr Netzwerk Ihr Geschäft ist. Seien Sie Proaktiv. Geben Sie LogZilla eine Chance das unter Beweis zustellen

Wenn Sie mehr über LogZilla wissen möchten, können Sie uns für weitere Informationen zu all Ihren Fragen kostenlos kontaktieren.


2       Was ist Logzilla?

LogZilla Corporation ist ein weltweiter Anbieter von Event-Management-Software und
ermöglicht es Unternehmen, Netzwerksicherheit, Belastbarkeit und das verbessern
betriebliche Effizienz zusteuern.

Unsere Software sammelt und indiziert massiv Maschinen- und Log Daten.
Der Anwender kann diese schnell und einfach durchsuchen, analysieren, überwachen und
Berichte über diese Daten in Echtzeit erstellen.

* Erkennung und analysieren von verdächtigem Verhalten und das verhindern von Zwischenfälle

* Registrieren von Zeitstempelangaben mit Aktivitäten wie Kunden-und
Benutzeraktivitäten

* Suche von wechselseitige Abhängigkeiten und Unterstützung durch forensische Analyse

* Archivierung und die Einhaltung von Zulassungsdaten

* Unterstützung von Routine IT / ​​Netzwerk Wartungen im Betriebsablauf

* Verwalten und Reduzierung der IT/Sicherheitskosten

* Überwachung und Gewährleistung von Leistungsverträgen

* Unterstützung von Industrie Compliance-Vorgaben wie Payment Card Industry Data Security Standard (PCI-DSS), SOX , und HIPAA

 

3       Warum brauchen Wir Logzilla?

Wieviel ist jede Minute ohne einen Netzwerkausfall für Ihre Organisation wert?

Das proaktive Management eines IT-Netzwerks, reduziert Ausfallzeiten.
Unsere Management-Lösung ist von entscheidender Bedeutung in jeder bedeutenden und komplexen Netzwerkinfrastruktur..

LogZilla bietet die beste Netzwerk-Monitoring-Software-Lösung in der Industrie an. Viele hochrangige Industriezweige und Firmen in aller Welt, verlassen sich auf die einzigartige Präsentation von indizierten System- und Log Daten. Ihr Organisation kann durch diese Aufbereitung Ihrer Daten einen, in Echtzeit laufenden proaktiven Management Plan ausarbeiten, sowie Sofortmaßnahmen einleiten, wenn immer es möglich ist. Jede IT Netzwerkinfrastruktur benötigt eine wirksame Überwachung aller Netzwerk-Geräte um Ausfallzeiten zu vermeiden. Ausfallzeiten kosten Geld – lassen Sie LogZilla Ihnen helfen, diese durch proaktives Analysieren zu verringern.

Weitere Information über LogZilla finden Sie unter http://www.logzilla.net/  (english only)

 

4       Zurück in der Vergangenheit

Das Sammeln von Daten ist so alt wie der Computer selber. Heute betreiben alle mehr oder weniger eine große Sammelleidenschaft von Daten die von Computersystem und Netzwerken anfallen. Schon am Anfang als das Advanced Research Projects Agency Network (ARPAnet) in Betrieb genommen wurde, haben die Entwickler dort auch vermutlich schon Daten Ihrer Computer gesammelt und analysiert. Es geht auch einfach kein Weg daran vorbei. Um irgendwelche professionellen Netzwerke zu betreiben, brauchen wir einfach Informationen was falsch oder richtig läuft. So wurden anfangs diese Daten einfach in großen Dateien gesammelt und mühsam von vielen fleißigen Administratoren über eine lange Zeit ausgewertet. Zeit spieltet am Anfang nur einen geringen Anteil des täglichen Netzbetriebes. Es war einfach wichtiger den Fehler zu finden und daraus zu lernen, bzw. zu beheben. In der letzten Dekaden nahm die Anzahl der Systeme und Netzwerke ständig zu und heute generieren diese System unvorstellbare Mengen an Informationen. Alles was man benutzt, ob es im Haushalt, der Freizeit und natürlich an der Arbeit benutzt, ist früher oder später mit der Internet verbunden oder mit einem privaten Netzwerk. Alle diese Geräte generieren Mengen an Mengen von Überwachung Informationen.

Die Kunst die Überwachenden zu überwachen
Um diese in den Griff zu bekommen hat man erst versucht Programme zu entwickeln die die Analysis der Überwachungsdaten einfacher machen kann. Das geht auch immer so lange gut wenn alle Daten und deren Quellen immer relative dieselben bleiben. In den meisten Infrastrukturen ist es heute fast unmöglich das noch durch zuführen. Allein die Anzahl aller möglichen Fehlermeldungen ist einfach nicht mehr mit einfachen Programmen zu bewältigen. So nahm man die besten Programme und Skripte und fügte diese in eine Anwendungssuite zusammen.

Diese "Syslogging" Anwendungssuites werden immer raffinierter und wachsen mit den heutigen dynamischen Ansprüchen moderner globaler Informatik Strukturen Welt weit.


Rechtfertigung was zu überwachen ist
Unsere "Syslogging" Anwendungssuiten wie zum Beispiel LogZilla haben jetzt diese Aufgabe übernommen und liefern in echt Zeit Überwachungsereignisse an alle die das Recht haben diese zu analysieren. In vielen Organisationen werden HIPPA, SOX oder PCI DSS Standards verwendet und LogZilla ist eine der wenigen die auch dieses Überwachungs- und Daten Rechenschaftspflicht in den Griff bekommen kann ohne viel Geld in die Hand zunehmen.

Die heutigen PCI DSS Standards umfassen ein neudenken in der IT. JumpHosts, Firewalls und Netzwerk Segmentierung ist einfach ein muss und wird auch ständig erweitert und verbessert. Wir alle müssen uns an die globalen Regeln halten um unser so immer komplexeres Leben im Globalen Internet Zeitalter zusichern und eine Rechtsgrundlage für Vergehen der welcher zu schaffen.

„LogZilla - Die schnellste, inituiveste Syslog Analyse Lösung für den großen Netzbetrieb“

 

Am Anfang der "Syslogging" Kultur standen die single-server Logger. Alle Daten wurden auf denselben Server geloggt worauf der Syslogger auch selber lief. Heute ist das schon ein wenig Aufwendiger. Wir haben heute eine Unzahl Geräten die alle logen und das auch gerne tun wollen.

Man könnte diese Daten einfach nicht mehr dezentral Überwachen, sondern es ist einfach notwendig ein zentrales Syslogging Überwachungssystem zu benutzten. Syslogging sollte einfach und schnell sein. Die Analysierung der Daten sollte von jedem durchführbar sein, flexible und adaptive sein und wenig Geld kosten.

„Geringere Support-Kosten, Optimieren Sie Ihr Netzwerk und Verhinderung von Netzwerk Ausfallzeiten.“

 

5       LogZilla in der Wildniss

Zum Beispiel sagt der PCI DSS Standard, dass auch die LogZilla- und Syslog-NG Server noch in ein separates Netzwerk gelegt werden müssen und das man diese auch nur via einem JumpHost(s) erreichen kann.

Zuviel des Guten? Vielleicht, aber mit LogZilla ist man immer auf dem richtigen Weg um PCI DSS zu begegnen. In der Vergangenheit schickten alle Server selber Fehlermeldungen via email an die Administratoren.  Dieser Setup hatte große Nachteile. Nicht immer waren alle Server gleich konfiguriert und variierten ein wenig auf Grund der Produktionssoftware vorgaben.  Es konnte auch zu ungewollten email Fluten kommen, wenn ein immer wieder kehrender Fehler auf getreten war. 

Was aber bei allen Servern gleich ist, ist die Protokollierung durch Syslog selber. Um sich PCI DSS Standards besser zu nutzten zu machen, musste es ja einen Weg geben alle diese Vorgaben zu verbinden und das ganze zentral zu steuern.  Für uns konnte es nur eine Open Source basierte Lösung geben.  Wir versuchten es mit verschiedenen Open Source Lösungen. „Octopussy“ zum Beispiel, was viel versprechend erschien, konnte aber mit dem Datenvolumen auch in einen kleinen Netzwerkabschnitt schon nicht mehr mithalten. Dazu kam eine sehr schwere und langwierige Installation, sowie perl-module hell. 

Die Benutzeroberfläche war unübersichtlich und langsam.  Software Upgrades waren nicht durch ein Repositorien erreichbar und auch das OS patching war einfach zu Zeitaufwendig.  Auch die kommerzielle Syslog-NG Lösung war einfach zu teuer.  Es gab noch viel andere Produkte die aber nie 100% überzeugten.

LogZilla ist die Antwort, leicht zu installieren, einmal her runter geladen, ein, zwei kurze Anpassungen und schon läuft LogZilla.  Jetzt konnten wir beides haben, einen Syslog Server der auch wirklich alle Daten empfangen, verarbeiten und archivieren kann, ohne das die Software unter der Last auch eines noch so hohen Datenaufkommens, zusammen bricht..  Die Benutzeroberflache ist einfach und man erkennt schnell wie alles arbeitet.    Praktische Filter können die wirklich wichtigen Informationen heraus filterten und als SMS, email oder in echt Zeit an den oder die Administrator(in) weiter geben werden.

 

6       Fazit

LogZilla ist schlank und schnell.  Einfach zu installieren und zu administrieren. Das benutzten der Filter Funktionen ist nicht immer einfach, aber mit minimalen Regular Expression Kenntnissen gut zu bewältigen. Updates sind durch eine einfache Schnittstelle in dem Administrations Menu leicht her runter zuladen und zu installierten.  LogZilla läuft auf Ubuntu LTS und kann leicht jeder Umgebung angepasst werden. Lizenzkosten erscheinen im ersten Moment hoch, aber nach ein wenig Tuning kann man das auch unter Kontrolle bekommen (Demo runter laden und ausprobieren). Super schnell und einfach zu bedienen. Der Lizenzkostenfaktor wird durch ein zuverlässiges und schnelles Produkt wieder gerechtfertigt.

„TML Technologies ist jetzt ein offizieller Reseller für LogZilla Software in Deutschland.  Dazu bieten wir jetzt auch deutschsprachigen technischen Support für alle LogZilla User mit einer aktuellen Lizenzen an. - Kontaktieren Sie uns via  logzilla-reseller [@] tmltechnologies.com“

 

7       LogZilla and PCI DSS Complaints

In this article I will describe some of the proactive measurements you can take to make your LOGZILLA server PCI DSS compliant.

Each year we are in for a new twist, when it comes to getting your PCI DSS Certification. I have spent most of my time within the last 8 weeks fixing the initial Penetration Scan Findings, upgrading software and bring operating systems to the most current level. Right here is the first gotcha... In this day and age it is almost impossible to keep an 7x24x365 Production System at the cutting edge level.

Constant patch updates from every vendor there is, makes it a task that will never be done. Automation can't be used, because it can have its own surprises. So it is up to the administrator to keep all and everything up-to-date.

To help with the PCI requirements it is absolutely necessary to maintain good documentation. Here all system related installation and security tasks should be actively maintained and documented.  It is more like a very detailed how-to guide, a way to always install all your system with the same parameters and requirements.  Some of the first tasks should be the patching of your operating system. Especially security related patch must be done as soon as they are released.  Next, you should maintain virus and malware software. Yes, this should be also on your linux based systems. I am using a Debian server as an example.

Maintaining Virus and Malware Software, securing opensshand your webserver, disable TCP-Timestamps on Linux Server and use host-based file integrity software

PCI Compliance

€The Payment Card Industry (PCI) Data Security Standard (DSS) was developed to encourage and enhance cardholder data security and facilitate the broad adoption of consistent data security measures globally. PCI DSS provides a baseline of thecnical and operational requirements designed to protect cardholder data. PCI DSS applies to all entities involved in payment card processing€“ including merchants, processors, acquirers, issuers, and service providers, as well as all other entities that store, process or transmit cardholder data. PCI DSS comprises a minimum set of requirements for protecting cardholder data, and may be enhanced by additional controls and practices to further mitigate risks.€

-       Requirements and Security Assessment Procedures

                                                                                                       PCI Security Standards Council

Hackers and scammers are constantly changing their tactics to exploit organization'€™s stored customer information.  Fortunately, they tend to take the path of least resistance.  By keeping an eye on current trends, it'€™s possible to make them seek out easier targets.  While it'€™s impossible to make your network 100% secure, missing key components will surely make your network insecure.  The purpose of standards like PCI DSS is to set a minimum level of security for merchants and financial institutions.  With Logzilla, you can proactively monitor system access, hardware health, and security configurations on potentially vulnerable devices.

The key phrases in the above quote are "€˜minimum set of requirements€™, and €˜may be enhanced by additional controls"€™. Acquirers can add surcharges ranging from $20 to $1,000 to a merchants monthly bill, and the credit card brands can fine acquirers up to $100,000 per month, often with no recourse for the fined party, so it seems that enhancing your security with additional controls would be a no-brainer.

Logzilla can help your organization protect card and cardholder information and avoid costly fines.

Basic PCI Requirements

Logzilla addresses the logging portion of requirements 4 and 10 for PCI compliance.  Sorbanes-Oxley (SOX), HIPPA, and Cobit 4.1 have similar requirements.

  • Requirement 4: Encrypt transmission of cardholder data across open, public networks
    • 4.1: Use strong cryptography and security protocols, such as SSL, TSL, and SSH
  • Requirement 10: Track and monitor all access to network resources and cardholder data
  • Requirement 10.2: Implement automated audit trails for all system components
  • Requirement 10.3: Record at least the following audit trail entries for all system components for each event
    • 10.3.1: User Identification
    • 10.3.2: Type of event
    • 10.3.3: Date and time
    • 10.3.4: Success or failure indication
    • 10.3.5: Origination of event
    • 10.3.6: Identity or name of affected data, system component, or resource
  • 10.4: Using time-synchronization technology, synchronize all critical system clocks and times and ensure that the following is implemented for acquiring, distributing, and storing time
  • 10.5: Secure audit trails so they cannot be altered
    • 10.5.1: Limit viewing of audit trails to those with a job-related need
    • 10.5.2: Protect audit trail files from unauthorized modifications
    • 10.5.3: Promptly back-up audit trail files to a centralized log server or media that is difficult to alter
    • 10.5.4: Copy logs for wireless networks onto a log server on the internal LAN
    • 10.5.5: Use file integrity monitoring and change detection software on logs to ensure that existing log data cannot be changed without generating alerts (although new data being added should not cause an alert
  • Requirement 10.7: Retain an audit trail history for at least one year, with a minimum of three months online availability.

 

8       Technical Reference Articles

Making your LogZilla Server PCI DSS compliant

HttpOnly-Flag problem

The problem looks like this:

Without HttpOnly-Flag:
HTTP/1.1 200 OK
Cache-Control: no-cache
Date: Wed, 12 Dec 2012 12:12:12 GMT
Pragma: no-cache
Content-Length: 3161
Content-Type: text/html; charset=UTF-8
Expires: Thu, 01 Jan 1970 00:00:00 GMT
--> Set-Cookie: SESSION=37a46b5bde5e7ed77f01baf11eeb59f24ad0d277; path=/; secure
Content-Language: en-US
[...]

This is how it should look like...
with HttpOnly-Flag:
HTTP/1.1 200 OK
Cache-Control: no-cache
Date: Wed, 12 Dec 2012 12:12:12 GMT
Pragma: no-cache
Content-Length: 3161
Content-Type: text/html; charset=UTF-8
Expires: Thu, 01 Jan 1970 00:00:00 GMT
--> Set-Cookie: SESSION=37a46b5bde5e7ed77f01baf11eeb59f24ad0d277; path=/; secure; HttpOnly
Content-Language: en-US

 

This is how to fix it:

For httponly secure cookies:
echo 'Header edit Set-Cookie ^(.*)$ $1;HttpOnly;Secure' >> /etc/apache2/httpd.conf
a2enmod headers
service apache2 restart

You can check your headers here to verify:
http://geekflare.com/tools/tool.php?id=check-headers

Test it on http://demo.logzilla.net (I have implemented it there)

 

Disable SSLv3 and TLSv1.0 from all ports

This will have a bit of a aftertaste.  If you are disabling openssl SSLv3 from your webserver ports,  you may find yourself pretty much lost when using Firefox.  Mozilla stated that this will be fix in a upcoming patch release.  It works with Chrome.

/etc/apache2# more httpd.conf

#SSLProtocol -ALL +SSLv3 +TLSv1

#SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:!LOW:!SSLv2:!EXPORT

SSLProtocol -ALL +TLSv1

SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:!LOW:!SSLv2:!SSLv3:!EXPORT

Header edit Set-Cookie ^(.*)$ $1;HttpOnly;Secure

 

The Web server uses inode information in the ETag header to optimize the cache management.

Found this:
By removing the ETag header, you disable caches and browsers from being able to validate files, so they are forced to rely on your Cache-Control and Expires header. Basically you can remove If-Modified-Since and If-None-Match requests and their 304 Not Modified Responses.

Entity tags (ETags) are a mechanism to check for a newer version of a cached file.

root@somehost:/etc/apache2/sites-enabled# more *
<VirtualHost *:80>
ServerAdmin
webmaster@localhost>;;

DocumentRoot /var/www
<Directory />
Options FollowSymLinks
AllowOverride None
FileETag none
</Directory>
<Directory /var/www/>
Options Indexes FollowSymLinks MultiViews
AllowOverride None
Order allow,deny
allow from all
</Directory>

ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/
<Directory "/usr/lib/cgi-bin">
AllowOverride None
Options +ExecCGI -MultiViews +SymLinksIfOwnerMatch
Order allow,deny
Allow from all
</Directory>

ErrorLog ${APACHE_LOG_DIR}/error.log

# Possible values include: debug, info, notice, warn, error, crit,
# alert, emerg.
LogLevel warn
CustomLog ${APACHE_LOG_DIR}/access.log combined
</VirtualHost>

Posted it here: http://www.tmltechnologies.com/2015/index.php/security/108-hardening-guide-for-your-apache-webserver-etag-fix

Fixing XSS cross-site-scripting vulnerabilities

Chrome:
https://websever_IP/login.php/2b69d"%20onmouseover%3dalert(1)%20style%3dposition%3aabsolute%3bwidth%3a100%25%3bheight%3a100%25%3btop%3a0%3bleft%3a0%3b%202b69d

How does it show:

Here an example with XSS vulnerabilities..

and here it is fixed...

To fix these PCI 3.0 requirements, we had great help and support from logzilla.net. If you are a logzilla user, make sure to upgrade to the latest release.

Securing LogZilla’s openssh Configuration

I don't think I have to elabrorate on the fact that securing ssh is a must. New in PCI 3.0 is to disable all DSA hostkeys, stength your RSA hostkey (minum of 2048bit key is a must) and disable all unwanted Ciphers in openssh.

Ciphers

In your /etc/ssh/sshd_config file, add the following to disable all unwanted Ciphers:

 .....

# Ciphers

Ciphers aes256-ctr,aes192-ctr,aes128-ctr,arcfour128,arcfour256,arcfour

Update PCI 2016: To stay compliant with PCI DSS 3.1 the following ciphers have been removed “arcfour128,arcfour256,arcfour”. The ciphers configuration of your sshd configuration should look like this:

 

# Ciphers

Ciphers aes256-ctr,aes192-ctr,aes128-ctr

.

this will also disable the use off CBC and CTR Ciphers (requirement for PCI 3.0) and RC4 Ciphers (requirement for PCI 3.1)

Make sure to ajust your ssh clients as well.

 

DSA Hostkeys

vi  /etc/ssh/sshd_config

Comment out the line

HostKey /etc/ssh/ssh_host_dsa_key

Delete the DSA key pairs

ssh_host_dsa_key

ssh_host_dsa_key.pub

restart ssh service

 

Creating strong RSA hostkeys

ssh-keygen -t rsa -b 4096 -a 500

Generating public/private rsa key pair.

Enter file in which to save the key (/root/.ssh/id_rsa): /etc/ssh/ssh_host_rsa_key

/etc/ssh/ssh_host_rsa_key already exists.

Overwrite (y/n)? y

Enter passphrase (empty for no passphrase):

Enter same passphrase again:

Your identification has been saved in /etc/ssh/ssh_host_rsa_key.

Your public key has been saved in /etc/ssh/ssh_host_rsa_key.pub.

The key fingerprint is:

67:34:4f:75:04:d4:b0:d1:fa:ec:56:81:03:08:7b:14 me@somehost

The key's randomart image is:

+--[ RSA 4096]----+

|       ..Eo  .**o|

|        o. . . +o|

|       . .o o o. |

|        .. + o.. |

|        S o . .o.|

|         o      +|

|               ..|

|                o|

|               . |

+-----------------+

 

Maintaining Virus and Malware Software

Here is how install and setup clamav:

#apt-get update

#apt-get install clamav

this will install following packages

clamav clamav-base clamav-freshclam libbz2-1.0 libclamav1 libcurl3 libgmp3 libidn11 ucf

Manually update the virus database.

Edit the the following two setup files:

more /etc/clamav/clamd.conf

#Automatically Generated by clamav-base postinst

#To reconfigure clamd run #dpkg-reconfigure clamav-base

#Please read /usr/share/doc/clamav-base/README.Debian.gz for details

LocalSocket /var/run/clamav/clamd.ctl

FixStaleSocket true

LocalSocketGroup clamav

LocalSocketMode 666

# TemporaryDirectory is not set to its default /tmp here to make overriding

# the default with environment variables TMPDIR/TMP/TEMP possible

User clamav

AllowSupplementaryGroups true

ScanMail true

ScanArchive true

ArchiveBlockEncrypted false

MaxDirectoryRecursion 15

FollowDirectorySymlinks false

FollowFileSymlinks false

ReadTimeout 180

MaxThreads 12

MaxConnectionQueueLength 15

LogSyslog true

LogFacility LOG_LOCAL6

LogClean false

LogVerbose true

PidFile /var/run/clamav/clamd.pid

DatabaseDirectory /var/lib/clamav

SelfCheck 3600

Foreground false

Debug false

ScanPE true

ScanOLE2 true

ScanHTML true

DetectBrokenExecutables false

ExitOnOOM false

LeaveTemporaryFiles false

AlgorithmicDetection true

ScanELF true

IdleTimeout 30

PhishingSignatures true

PhishingScanURLs true

PhishingAlwaysBlockSSLMismatch false

PhishingAlwaysBlockCloak false

DetectPUA false

ScanPartialMessages false

HeuristicScanPrecedence false

StructuredDataDetection false

CommandReadTimeout 5

SendBufTimeout 200

MaxQueue 100

ExtendedDetectionInfo true

OLE2BlockMacros false

StreamMaxLength 25M

LogFile /var/log/clamav/clamav.log

LogTime true

LogFileUnlock false

LogFileMaxSize 0

Bytecode true

BytecodeSecurity TrustSigned

BytecodeTimeout 60000

OfficialDatabaseOnly false

CrossFilesystems true

more /etc/clamav/freshclam.conf

Note: inorder to edit the freshclam.conf file, you need to remove the write attribute from the file, using chattr [-+]i

# Automatically created by the clamav-freshclam postinst

# Comments will get lost when you reconfigure the clamav-freshclam package

HTTPProxyServer 10.10.10.10

HTTPProxyPort 8080

DatabaseOwner clamav

UpdateLogFile /var/log/clamav/freshclam.log

LogVerbose true

LogSyslog true

LogFacility LOG_LOCAL6

LogFileMaxSize 0

LogTime true

Foreground false

Debug false

MaxAttempts 5

DatabaseDirectory /var/lib/clamav

DNSDatabaseInfo current.cvd.clamav.net

AllowSupplementaryGroups false

PidFile /var/run/clamav/freshclam.pid

ConnectTimeout 30

ReceiveTimeout 30

TestDatabases yes

ScriptedUpdates yes

CompressLocalDatabase no

Bytecode true

# Check for new database 24 times a day

Checks 24

DatabaseMirror db.local.clamav.net

DatabaseMirror database.clamav.net

reload the virus definitions

# freshclam

ClamAV update process started at Thu Feb 26 05:56:55 2015

Connecting via 10.10.10.10

Downloading main.cvd [ 6%]

ClamAV update process started at Mon Sep 11 16:27:40 2006main.cvd is up to date (version: 40, sigs: 64138, f-level: 8, builder: tkojm)daily.cvd is up to date (version: 1859, sigs: 4556, f-level: 8, builder: ccordes)

Note: If it is not working, check your DNS configuration

Test your scan manually before using your scheduler

# /usr/bin/clamscan -l /var/log/clamav/scan_out --exclude-dir=/dev --exclude-dir=/sys/module -r /*

auto-updating your Virus Database using your cron scheduler

freshclam is the default database updater for Clam AntiVirus. It can work in two modes

interactive - from command line, verbosely via crontab

daemon - alone, silently

When started by a superuser it drops privileges and switches to the clamav user. freshclam uses the database.clamav.net round-robin DNS which automatically selects a database mirror9.1. freshclam is an advanced tool: it supports database version verification through DNS, proxy servers (with authentication), digital signatures and various error scenarios. Quick test: run freshclam (as superuser) with no parameters and check the output. If everything is OK you may create the log file in /var/log (owned by clamav or another user freshclam will be running as (--user)

The other method is to use the cron daemon. You have to add the following line to the crontab of the root or clamav users

Note: you have to set your favoide editor

export EDITOR=vi

e.g. Automatically scan files/folders for viruses at midnight everyday

* * * * * means minute hour date month year

you need to edit your crontab file

#crontab -e

Append the following line at the end of file

# ClamAV nightly scan

01 01 * * 0 (. ./.profile && /usr/bin/clamscan -l /var/log/clamav/scan_out --exclude-dir=/dev --exclude-dir=/sys/module -r /* )

# Freshclam – check for updates

30 23 * * * /usr/bin/freshclam

to check for a new database once a day.

 

Installing Malware/RootKit Scanner

Please use reference guide:

http://howto.biapy.com/en/debian-gnu-linux/system/security/install-rootkit-hunter-on-debian

make sure to setup your $HOME/.wgetrc file correctly before install rkhunter as shown in the above link.

command rkhunter --configfile /etc/rkhunter.conf --report-warnings-only --checkall

Warning: The SSH and rkhunter configuration options should be the same:

SSH configuration option 'PermitRootLogin': no

Rkhunter configuration option 'ALLOW_SSH_ROOT_USER': yes

FIX: vi /etc/rkhunter.conf and set LOG'ALLOW_SSH_ROOT_USER'=no

 

Accessing Logzilla through HTTPS (requirement for PCI DSS)

This guide is for Ubuntu 12.04 LTS. For other OS's, your file locations may vary.

Create your ssl keys. In this example, I'm storing the keys in /etc/apache2/ssl. You'll be prompted for a passphrase, it will only be used to create the keys, and we'll remove it a few steps down. You'll also be asked questions about the server name, location, and contact information. Fill in whatever you'd like, or just put a '.' to leave the answers blank.

openssl genrsa -des3 -out server.key 1024
openssl req -new -key server.key -out server.csr

Remove the passphrase from the key.

cp server.key server.key.org
openssl rsa -in server.key.org -out server.key

Next, we'll need to generate a self-signed certificate

openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt

Copy the certificate and key to the apache ssl directory:

mkdir -p /etc/apache2/ssl && cp server.crt server.key /etc/apache2/ssl/

Enable ssl

a2enmod ssl

Edit the /etc/apache2/sites-available/default-ssl file and modify the DocumentRoot as follows

DocumentRoot /var/www/logzilla/html

Also in the default-ssl, you will need to modify the certificate locations under the 'SSLEngine on' switch.

SSLCertificateFile /etc/apache2/ssl/server.crt
SSLCertificateKeyFile /etc/apache2/ssl/server.key

Enable the ssl config:

 a2ensite default-ssl

Edit the /etc/apache2/ports.conf . In the section <IfModule mod_ssl.c>, add the following above the line 'Listen 443'.

NameVirtualHost *:443

Modify your apache ssl cipher configuration. Edit the /etc/apache2/ssl.conf or apache2.conf file and include the following modification in order to stay PCI DSS compliant:

root@logzilla:/etc/apache2# more ssl.conf (new in PCI 3.1)

#SSLProtocol -ALL +TLSv1

SSLProtocol             all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1

SSLHonorCipherOrder     on

SSLCipherSuite         ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY130

5:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:!DES-CBC3-SHA:!DSS:!aNULL

#SSLProtocol -ALL +SSLv3 +TLSv1

#SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:!LOW:!SSLv2:!EXPORT

Restart Apache and test.

service apache2 reload

LogZilla Upgrade 4.5.723 to 4.5.795 - PCI 3.1

cd  /var/www/logzilla/scripts/
export http_proxy="https://proxy:8080"

cd /var/www/logzilla && svn up
service apache2 restart

service logzilla restart
history
cd scripts && ./upgrade

Date

10 June 2016

Tags

PCI DSS Compliance, Linux Administration, Software

Infinity

Picture of the Day

Photography Articles

You have always a choice!

TML Technologies wants you to give Open Source a chance.

Try the many tools available today and safe money.

Features

netwars

Ralf's Biography

11227027 469662006556702 4286901489162897682 n

Contact Ralf Wiegand

20161014145358 IMG 0151

Visitors

UNITED STATES 28.2%UNITED STATES
GERMANY 10.9%GERMANY
INDIA 5.9%INDIA
CHINA 4.3%CHINA
FRANCE 3.3%FRANCE
JAPAN 2.9%JAPAN
RUSSIAN FEDERATION 2.9%RUSSIAN FEDERATION
BRAZIL 2.9%BRAZIL
UNITED KINGDOM 2.7%UNITED KINGDOM
AUSTRALIA 2.3%AUSTRALIA

Today: 20
Yesterday: 30
This Week: 127
Last Week: 164
This Month: 436
Last Month: 780
Total: 58778