Re: Intrusion detection system
19.02.2016 10:59, Victor Wagner пишет:
> Коллеги,
>
> А поделитесь опытом, кто какими intrusion detection systems сейчас
> пользуется на серверах.
у меня установлен OSSEC HIDS
> Нужно либо после обновления полностью перегенерировать базу, либо ждать
> очередной перегенерации и вручную сравнивать список изменившихся файлов
> со списком обновившихся пакетов.
в основном приходят письма после апдейта пакетов примерно с таким
содержанием:
OSSEC HIDS Notification.
2016 Feb 19 09:37:24
Received From: soho->syscheck
Rule: 550 fired (level 7) -> "Integrity checksum changed."
Portion of the log(s):
Integrity checksum changed for: '/etc/rc0.d/K01dirmngr'
Old md5sum was: '6ecea4393b1e46a6184f180e083d5f1e'
New md5sum is : 'xxx'
Old sha1sum was: '295ef90547f5a94a359293d2e1dc403bc8f2229b'
New sha1sum is : 'xxx'
--END OF NOTIFICATION
это из Alert Level 7, но бывают из из Alert Level 2 например:
OSSEC HIDS Notification.
2016 Feb 18 14:36:12
Received From: soho->/var/log/apache2/error.log
Rule: 1002 fired (level 2) -> "Unknown problem somewhere in the system."
Portion of the log(s):
[Thu Feb 18 14:36:11.673199 2016] [core:error] [pid 2821] (13)Permission
denied: [client 52.53.230.125:54646] AH00035: access to
/ossec-wui/index.html denied (filesystem path
'/var/www/html/ossec-wui/index.html') because search permissions are
missing on a component of the path
--END OF NOTIFICATION
--
BW,
Сохин Вячеслав
Reply to: