El Sábado, 1 de Marzo de 2008, Juan Erbes escribió:
* samhain entra en mas profundidad, por tanto es mas complejo, que rkhunter o chkrootkit, estos funcionan con la configuracion por defecto a excepcion de chequeo de checksums, y por la parte de bases de datos de checksums y control de alteracion de ficheros, tienes aide y afick, por regla general uso samhain y afick para estos aspectos.
Gracias por la info. Me alegro volver a verte en la lista! De este software Bro, que opinas? Con respecto a samhain y afick, la selección de archivos a incluir en la "bases de datos de checksums y control de alteracion de ficheros", los determina la aplicación, o debes indicarselo vos?
* Siempre he estado, lo que pasa es que no habia hilos de interes. * No lo uso, parece que las caracteristicas a diferencia de los sistemas basados en host y firmas (snort, etc) es que en teoria da menos trabajo de mantenimiento (una maquina a mantener, con sus pros y contras claro), como no lo uso no lo se, en cualquier caso su potencia actual esta basado principalmente en las firmas snort, se vera en el futuro, en este punto creo mas en los sistemas de auditoria de penetracion y control de logs unificado, que en la deteccion de vulnerabilidades, de esto de momento se ocupan las distribuciones y usuarios, aqui si que se ha de usar una buena herramienta/servidor de control de logs tipo splunk. * En estos tiempos procede dedicar una maquina como servidor de logs y control, alli rsyslog, snmp envian todo, GPLI para inventario y lo que te guste para monitoreo y estado, yo prefiero zabbix, * samhain hay que trabajarlo, detecta anomalias en ELF, carga de modulos, procesos y anomalias via /proc es decir has de dedicarle tiempo siendo capaz de detectar procedimientos que tu consideras anomalos y el sistema no y que no detectan los demas como tales, afick es facil de configurar simplemente le has de indicar que directorios y contenido ha de vigilar y comparar (el fichero de configuracion es autoexplicativo) en cada ejecucion, ademas creo que tiene un Gui y un modulo de webmin, con lo cual su manejo es mas que sencillo, teniendo afick no es necesario habilitar el chequeo de checksums en rkhunter y/o chkrootkit, ya te lo hace afick, seria repetitivo.