Intrusion detection system
Коллеги,
А поделитесь опытом, кто какими intrusion detection systems сейчас
пользуется на серверах.
Я использую AIDE, которая, на мой взгляд, несколько параноидальна.
Сколько ее ни настраивал, но помимо информации, которая может оказаться
действительно важна, она приносит ежедневно сведения сколько писем
сложилось в веб-архив списка рассылки и какие фотографии котиков жена
выложила на свою домашнюю страничку.
С другой стороны, в AIDE мне категорически не хватает интеграции с
пакетным менеджером. Вот ставлю я на систему обновления, а оно
почему-то не может автоматически (все равно выполняется доверенная
команда от рута) зафиксировать в базе, что вот эти бинарники не сами
собой изменились а вот их я сейчас командой apt-get поставил.
Нужно либо после обновления полностью перегенерировать базу, либо ждать
очередной перегенерации и вручную сравнивать список изменившихся файлов
со списком обновившихся пакетов.
integrit я лет пять назад смотрел, тогда он мне показался хуже чем
aide.
И не стоит ли обзавестись каким-нибудь behavoir analysis сетевого
траффика? И если да, то каким?
--
Reply to: