Коллеги, А поделитесь опытом, кто какими intrusion detection systems сейчас пользуется на серверах.
Я использую AIDE, которая, на мой взгляд, несколько параноидальна. Сколько ее ни настраивал, но помимо информации, которая может оказаться действительно важна, она приносит ежедневно сведения сколько писем сложилось в веб-архив списка рассылки и какие фотографии котиков жена выложила на свою домашнюю страничку. С другой стороны, в AIDE мне категорически не хватает интеграции с пакетным менеджером. Вот ставлю я на систему обновления, а оно почему-то не может автоматически (все равно выполняется доверенная команда от рута) зафиксировать в базе, что вот эти бинарники не сами собой изменились а вот их я сейчас командой apt-get поставил. Нужно либо после обновления полностью перегенерировать базу, либо ждать очередной перегенерации и вручную сравнивать список изменившихся файлов со списком обновившихся пакетов. integrit я лет пять назад смотрел, тогда он мне показался хуже чем aide. И не стоит ли обзавестись каким-нибудь behavoir analysis сетевого траффика? И если да, то каким? --
