Нормальный HIDS под Linux

1) realtime file monitoring, которого я просто в упор не вижу. OSSEC не предлагать - там оно ничерта не работает.

Все известные мне файл мониторинги работают по принципу периодических проверок. Думаю если использовать inotify (или как оно там зовется) то можно сделать real-time, вопрос правда сколько оно ресурсов будет кушать..

2) Мониторинг всех запускаемых программ.

А тут что должно происходить? Что конкретно ожидается от мониторинга-то?

3) Мониторинг SSH сессий (какой пользователь что запускал).

snoopy

4) Realtime or close to realtime logs upload.

Отправка логов на syslog сервер.

man proc

Samhain — an Open Source HIDS

Osiris — an Open Source HIDS

Aide — an Open Source HIDS that aims to do what tripwire does

Парсь логи аудита

Все известные мне файл мониторинги работают по принципу периодических проверок. Думаю если использовать inotify (или как оно там зовется) то можно сделать real-time, вопрос правда сколько оно ресурсов будет кушать..

То что используется для этих целей называется fanotify. Оно по дефолту все мониторит

принципу периодических проверок.

100% бесполезная фишка. В интервале сканирования можно поставить руткит и спрятать его.

Спасибо, погляжу.

Aide уже смотрел - пустышка.

Osiris непонятно где искать - оно ещё живое? http://www.osii.com/solutions/products/remote-telemetry.asp показывает только PDF'ку

А что в OSSEC'е не работает? У меня он не работал, только когда я сам в конфигах ляпы делал... имхо из опенсорсных hids'ов он лучшее решение.