форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Информационная безопасность (ПО для увеличения безопасности)
Изначальное сообщение		[ Отслеживать ]

"rkhunter vs chkrootkit"	+/–
Сообщение от ы on 13-Янв-11, 18:48
моя контора готовится к прохождению сертификации на PCI DSS. дано: с полсотни хостов под управлением RHEL 4, 5; Debian 5; Solaris 10 SPARC, x86. мне нужно: внедрить *опенсурсную* rootkits check систему на указанных выше Linux/Solaris. я знаю и работал с rkhunter и chkrootkit. по моему по функционалу они фактически идентичны. пока остановился на rkhunter, так как у него более кошерная лицензия (chkrootkit идёт под BSD-like лицензией) и chkrootkit уже более полутора лет не обновлялся. так же мне хотелось бы централизованно собирать отчёты rkhunter'а и желательно писать их в базу данных (mysql/postgresql). пока никаких готовых решений с базой данных не нашёл. видимо прийдётся для начала собирать отчёты централизованно via syslogd... что думаете, коллеги? может был подобный опыт с внедрением rootkits check'еров на множество хостов и поделитесь опытом?
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "rkhunter vs chkrootkit"	+/–
Сообщение от анон on 13-Янв-11, 19:54
>[оверквотинг удален] > они фактически идентичны. > пока остановился на rkhunter, так как у него более кошерная лицензия (chkrootkit > идёт под BSD-like лицензией) и chkrootkit уже более полутора лет не > обновлялся. > так же мне хотелось бы централизованно собирать отчёты rkhunter'а и желательно писать > их в базу данных (mysql/postgresql). пока никаких готовых решений с базой > данных не нашёл. видимо прийдётся для начала собирать отчёты централизованно via > syslogd... > что думаете, коллеги? может был подобный опыт с внедрением rootkits check'еров на > множество хостов и поделитесь опытом? http://www.ossec.net/ Хотя решение с syslogd мне более по душе.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "rkhunter vs chkrootkit"	+/–
	Сообщение от ы on 13-Янв-11, 22:52
	> http://www.ossec.net/ Хотя решение с syslogd мне более по душе. ага. OSSEC я как раз вчера и позавчера активно изучал. поставил его на тестовой виртуалке с Debian 5.0.7, агенты расставил на Solaris 10 x86 и RHEL 5.5. в OSSEC мне нравится что он "из коробки" может писать данные в MySQL/PostgreSQL и есть web interface к нему. Правда насколько OSSEC  лучше ищет руткиты чем rkhunter я пока не успел понять. Но уже заметил что web interface к OSSEC очень сырой. И агенты пересылают данные по UDP - это не фонтан, я бы предпочёл по TCP. а вы сами с OSSEC в продакшене работали? есть нарекания?
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "rkhunter vs chkrootkit"	+/–
	Сообщение от анон on 13-Янв-11, 23:13
	>> http://www.ossec.net/ Хотя решение с syslogd мне более по душе. > ага. OSSEC я как раз вчера и позавчера активно изучал. > поставил его на тестовой виртуалке с Debian 5.0.7, агенты расставил > на Solaris 10 x86 и RHEL 5.5. > в OSSEC мне нравится что он "из коробки" может писать данные в > MySQL/PostgreSQL > и есть web interface к нему. > Правда насколько OSSEC  лучше ищет руткиты чем rkhunter я пока не > успел понять. open source hids (кстати, погуглите, есть ещё http://www.la-samhna.de/samhain/ -- тоже известная штука) часто используют уже готовые разработки. Snort, к примеру. Так что не удивлюсь, что там тоже что-нибудь в качестве rkhunter или подобного внедренно. > Но уже заметил что web interface к OSSEC очень сырой. И агенты > пересылают > данные по UDP - это не фонтан, я бы предпочёл по TCP. > а вы сами с OSSEC в продакшене работали? есть нарекания? Нет, не работал. Пару статей читал, вспомнилось в тему.
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема