Система обнаружения вторжений (СОВ) / Intrusion Detection System (IDS)

[WWW.ZEOS.IN 1 161]

Сайт: www.zeos.in

Поделитесь информацией, кто какие Системы обнаружения вторжений (СОВ) / Intrusion Detection System (IDS) использует у себя на серверах

http://ru.wikipedia.org/wiki/Система_обнаружения_вторжений

Пока знаю только такие:

1) http://www.snort.org/

2) http://www.tripwire.com/

3) http://aide.sourceforge.net/

******************************

Я хочу контролировать у себя на сервере за "Созданием / Модификацией / Удалением" файлов и папок, а также смены для них "времени создания / времени модификации / времени доступа / прав CHMOD / владельца / группы и др."

Может быть уже есть какие-то решения подобных задач для: Linux/FreeBSD?

Я так понял, то, что мне надо, называется: http://ru.wikipedia.org/wiki/Ревизор

Для Windows есть что-то подобное: Kaspersky Inspector и ADinf

Очень прошу помочь мне.

Заранее большое спасибо всем, кто проявит желание помочь

Изменено 25 января 2011 пользователем WWW.ZEOS.IN

[zgr 72]

Я хочу контролировать у себя на сервере за "Созданием / Модификацией / Удалением"

Сюда же можно добавить до полного списка: перемещение/копирование/переименование

Я только права на запись и время изменения файлов/папок смотрю через прожку КАТфтп - пока этого хватает. Встроенные системы хостера (логи + стата) пока вполне себя оправдывают для личной странички.

[WWW.ZEOS.IN 1 161]

Сюда же можно добавить до полного списка: перемещение/копирование/переименование

ну это не так обязательно

Например, перемещение - это удаление + создание файла

Копирование - это создание файла

Переименование будет определятся как удаление одного файла + создание нового файла

имхо

[WWW.ZEOS.IN 1 161]

Хорошая статья про AIDE - http://wiki.linuxformat.ru/index.php/LXF89:Безопасность

[zgr 72]

Глянул мельком статью, мало что понял пока, но вроде что-то толковое есть... Я ищу тоже интересные статейки по взлому, хочу у себя одну опубликовать с готовой защитой, но более как-то по защите на php и js смотрю, очень интересует еще апач (пока с ним всё туго у меня), но в нём я не силён... Если такие источники тоже интересны, могу время от времени подкидывать статейки или идеи, как защититься от взлома Зеос, или тебя интересует защита исключительно на уровне админа на сервере?

[hotdj 33]

боян, стройте сайты на локалке и не будет вам вторжений :lol:

[WWW.ZEOS.IN 1 161]

защита исключительно на уровне админа на сервере?

Угу

[WWW.ZEOS.IN 1 161]

Просмотрел много сайтов в интернете и собрал список программ:

• inotify - http://ru.wikipedia.org/wiki/inotify (inotify-tools - inotifywait, inotifywatch)
  
• kqueue - http://ru.wikipedia.org/wiki/kqueue
  
• fanotify
  
• systemtap - http://ru.wikipedia.org/wiki/SystemTap
  
• auditd - http://habrahabr.ru/tag/auditd/
  
• lsof - http://ru.wikipedia.org/wiki/lsof
  
• tripwire - http://www.tripwire.com/
  
• aide (Advanced Intrusion Detection Environment) - http://aide.sourceforge.net/
  
• snort - http://ru.wikipedia.org/wiki/snort
  
• find - ( find /usr/bin -type f -mtime -10 найти все файлы в '/usr/bin', созданные или изменённые в течении последних 10 дней )
  

[WWW.ZEOS.IN 1 161]

• Fuser - http://ru.wikipedia.org/wiki/Fuser
  

[ibred 31]

А чем Вас не устраивает Ваша собственная защита: ZEOS ANTIVIRUS?

[WWW.ZEOS.IN 1 161]

Потому, что мне надо следить не только за папкой сайта, а и за большинством файлов на сервере. Плюс в AIDE можно сделать очень многое. ZEOS ANTIVIRUS подходит тем, у кого виртуальный хостинг и нет возможности устанавливать дополнительное ПО

[ibred 31]

Потому, что мне надо следить не только за папкой сайта, а и за большинством файлов на сервере. Плюс в AIDE можно сделать очень многое.

А где можно прочитать про эти AIDE на родном русском? А то, куда не зайду по Вашим ссылкам - везде вражеские закорючки

ZEOS ANTIVIRUS подходит тем, у кого виртуальный хостинг и нет возможности устанавливать дополнительное ПО

Ну, про виртуальный хостинг, Вы, наверное, пошутили Сомневаюсь, что хостинг выдержит Ваш антивирус, VPS то не всякий потянет

[WWW.ZEOS.IN 1 161]

А где можно прочитать про эти AIDE на родном русском? А то, куда не зайду по Вашим ссылкам - везде вражеские закорючки

В четвёртом сообщении я дал ссылку на хорошее описание работы AIDE

AIDE - это бесплатная альтернатива Tripwire

Ну, про виртуальный хостинг, Вы, наверное, пошутили Сомневаюсь, что хостинг выдержит Ваш антивирус, VPS то не всякий потянет

Сразу видно, что Вы не использовали скрипт! Всем, кому я помогал с установкой (на разных хостингах, разных тарифных планов и большинство виртуальные), скрипт работает около 2-3 секунд. Нагрузка при этом есть, но её время очень маленькое. Больше всего нагрузки - это подсчитать MD5 файла. Чем больше файлов и чем больше размер файлов, тем больше времени надо на работу

В AIDE, например, я могу использовать шаблоны для контроля:

• p: permissions – изменение прав
  
• i: inode – изменение inode
  
• n: number of links – изменение количества ссылок
  
• u: user – изменился пользователь
  
• g: group – группа
  
• s: size – размер
  
• b: block count – индекс блока
  
• m: mtime – время модификации
  
• a: atime – время доступа
  
• c: ctime – время создания
  
• S: check for growing size – проверка на изменение/возрастание размера
  

контрольные суммы по соответствующим алгоритмам

• md5: md5 checksum
  
• sha1: sha1 checksum
  
• rmd160: rmd160 checksum
  
• tiger: tiger checksum
  
• haval: haval checksum
  
• gost: gost checksum
  
• crc32: crc32 checksum
  

А также можно задавать свои шаблоны. Например:

MyRules = p+i+n+u+g+s+b+m+c+sha1

Logs = p+i+n+u+g+S

Devices = p+i+n+u+g+s+b+c+md5

StaticDir = p+i+n+u+g