Question

Hola gentes, queria implementar un ids para controlar un server web.

Este servidor tiene Centos 7. Mi idea es que verifiue los archivos de sistema y sus modificaciones y que sea facil de implementar.

 

Gracias. Saludos

Answer 1

CSF  es gratis y ya tiene, entre muchas otras cosas, un deamon que trackea modificaciones en los files del sistema.

http://configserver.com/cp/csf.html

Comments

+1
Lo uso y va como piña

Answer 2

Hola, podés probar PSAD. Es un IDS bastante liviano y podes usar las reglas de snort e integrarlo con iptables y configurar bloqueos automaticos.  Y para analizar lo que pasa "dentro" del server, un HIDS  como OSSEC.

http://cipherdyne.org/psad/

http://www.ossec.net/

Saludos

Answer 3

Como dice @RD, OSSEC es una excelente herramienta para hids, no solo te verifica la integridad de archivos chequeando cambios de tamaño y hashes (md5 y sha1), sino que también te controla los logs del sistema, y te notifica, por ejemplo, de logins fallidos, tanto en la wui como por mail.

Si lo que querés es solamente integridad de archivos, tripwire también está bueno, y guarda tanto los reportes como la conf en archivos cifrados con claves simétricas (es fácil de usar).

En tripwire vos creás una db inicial, y luego por comando podés generar reportes de las diferencias con esa db, y además actualizar la db para siguientes reportes. Eso sí, es por comando, podés cronear las verificaciones y generación de reportes, pero no tiene, hasta donde se, notificación... habría que programar algo que parsee el reporte (txt) y avise, en el caso de que lo necesites.

Slds!