19.02.2016 10:59, Victor Wagner пишет: > Коллеги, > > А поделитесь опытом, кто какими intrusion detection systems сейчас > пользуется на серверах.
у меня установлен OSSEC HIDS > Нужно либо после обновления полностью перегенерировать базу, либо ждать > очередной перегенерации и вручную сравнивать список изменившихся файлов > со списком обновившихся пакетов. в основном приходят письма после апдейта пакетов примерно с таким содержанием: OSSEC HIDS Notification. 2016 Feb 19 09:37:24 Received From: soho->syscheck Rule: 550 fired (level 7) -> "Integrity checksum changed." Portion of the log(s): Integrity checksum changed for: '/etc/rc0.d/K01dirmngr' Old md5sum was: '6ecea4393b1e46a6184f180e083d5f1e' New md5sum is : 'xxx' Old sha1sum was: '295ef90547f5a94a359293d2e1dc403bc8f2229b' New sha1sum is : 'xxx' --END OF NOTIFICATION это из Alert Level 7, но бывают из из Alert Level 2 например: OSSEC HIDS Notification. 2016 Feb 18 14:36:12 Received From: soho->/var/log/apache2/error.log Rule: 1002 fired (level 2) -> "Unknown problem somewhere in the system." Portion of the log(s): [Thu Feb 18 14:36:11.673199 2016] [core:error] [pid 2821] (13)Permission denied: [client 52.53.230.125:54646] AH00035: access to /ossec-wui/index.html denied (filesystem path '/var/www/html/ossec-wui/index.html') because search permissions are missing on a component of the path --END OF NOTIFICATION -- BW, Сохин Вячеслав
