LINUX.ORG.RU

Нормальный HIDS под Linux

 hids


0

4

Есть они вообще?

Нужно 1) realtime file monitoring, которого я просто в упор не вижу. OSSEC не предлагать - там оно ничерта не работает.

2) Мониторинг всех запускаемых программ.

3) Мониторинг SSH сессий (какой пользователь что запускал).

4) Realtime or close to realtime logs upload.

1) realtime file monitoring, которого я просто в упор не вижу. OSSEC не предлагать - там оно ничерта не работает.

Все известные мне файл мониторинги работают по принципу периодических проверок. Думаю если использовать inotify (или как оно там зовется) то можно сделать real-time, вопрос правда сколько оно ресурсов будет кушать..

2) Мониторинг всех запускаемых программ.

А тут что должно происходить? Что конкретно ожидается от мониторинга-то?

3) Мониторинг SSH сессий (какой пользователь что запускал).

snoopy

4) Realtime or close to realtime logs upload.

Отправка логов на syslog сервер.

FreeBSD ★★★
()
Ответ на: комментарий от FreeBSD

Все известные мне файл мониторинги работают по принципу периодических проверок. Думаю если использовать inotify (или как оно там зовется) то можно сделать real-time, вопрос правда сколько оно ресурсов будет кушать..

То что используется для этих целей называется fanotify. Оно по дефолту все мониторит

vasily_pupkin ★★★★★
()
Ответ на: комментарий от FreeBSD

принципу периодических проверок.

100% бесполезная фишка. В интервале сканирования можно поставить руткит и спрятать его.

juk4windows
() автор топика

А что в OSSEC'е не работает? У меня он не работал, только когда я сам в конфигах ляпы делал... имхо из опенсорсных hids'ов он лучшее решение.

JaL
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.