LIDS или RSBAC?

А какая функциональность нужна?

Мне кажется RSBAC.
Управлять можно доступом настолько виртуозно, что можно ограничить всё и вся. Только разбираться долго нужно.. вот сижу и пытаюсь. Но перспективы захватывают.
Есть дистрибутив Linux Castle правда ещё Beta3, но там уже скоро релиз будет (надеюсь), с уже интегрированным в систему RSBAC.

Вот.. Хотя конечно найдутся поклонники и LIDS. Но на мой взгляд в RSBAC можно сделать то же, даже больше.

Тогда я займусь LIDS-ом. - обменяемся впечатлениями. "Покатали" Astaro Linux - собственно его функциональности бы и хватило,но он закрытый, а нужно встроить ещё один пакетик, специфический - SAPRouter. Вот и придётся делать из простого Linux-а.

P.S.А может не стоит время терять на LIDS - вот в чем вопрос )

если вам "просто" firewall/proxy/smtp/routing/NAT (я так понимаю, это вы понимали под словом "шлюз") то может и не надо.

если хочется высокоустойчивую систему (с возросшими затратами на поддержку ее), возмите LIDS - RSBAC заточен под несколько другое.

Опять же повторю свой предыдущий вопрос - что будет делать машина?

http://castle.altlinux.ru/White-Paper.html

firewall/proxy/smtp/routing/ +webserver

почитал доку по RSBAC - спасибо за подсказку по Castle - действительно RSBAC заточен больше под файл-сервер. LIDS, судя по всему, дополнительно интегрирует в себе iptables и portcentry

>> LIDS, судя по всему, дополнительно интегрирует в себе iptables и portcentry

Мне кажется не совсем, там своя система наблюдения за попытками коннекта. Хотя я могу ошибаться, опыта работы с LIDS у меня практически нет.
А насчёт porsentry & iptables, то они есть в дистрибутиве Castle :)
Он же собран на базе Mandrake. Так что я думаю, что для Вашего случая это именно то, что нужно.

> firewall/proxy/smtp/routing/ +webserver

перенеся внешние сервисы в chroot, разумно настроив систему, убрав все лишнее и вовремя ставя апдейты, вы и без LIDS достигнете уровня безопасности, приемлемого для "средней" организации, сосбенно, в случае, если нет лишних людских ресурсов.

>А насчёт porsentry & iptables, то они есть в дистрибутиве Castle :)

только вот что-то они не обновляли его давно.. смешно, что сам сижу на ALT Master, а про Castle совсем забыл

задача стоит в выработке типового решения для изоляции серверного сегмента с последующим тиражированием

Вообще Astaro мне понравился - ничего лишнего, настройка вся через webmin - можно централизованно сопровождать...

>>А насчёт porsentry & iptables, то они есть в дистрибутиве Castle :)
>только вот что-то они не обновляли его давно.. смешно, что сам сижу на ALT Master, а про Castle совсем забыл

Обновлять Castle можно пакетами из Sisyphus.
Почитайте рассылку по Castle. Там эти вопросы обсуждались.