Ossec HIDS

July 15, 2008 on 16:09 by Timo | In IT |

Ossec logo
Ossec on laajasti mielenkiintoa herättänyt open-source HIDS/HIPS (hyökkäyksien havainnonti- ja/tai torjumisjärjestelmä) *nix ja Windows käyttöjärjestelmille. Kyseisellä ohjelmistolla voidaan havainnoida sekä tiedostojärjestelmän muutoksia, että poimia lokitiedostoista normaalista poikkeavia tapahtumia ja hälyttää niistä ylläpitäjää.

Olen itse käyttänyt ja seurannut tuotteen kehittymistä jo jonkin aikaa. Seuraava iso askel kehityksessä otetaan versiossa 1.6, kun mukaan tulee nyt testivaiheessa olevat CIS-bencmark testit. Näiden testien avulla ossec osaa auditoida myös järjestelmän konfiguraatiota CIS:n (Center for Internet Security) laatimen hyvien käytäntöjen tarkastuslistoja vastaan.

Esimerkkinä CIS-auditoinnista sain huomautuksen siitä, ettei tietyt hakemistot ole erillisillä osioilla. Selittelynä todettakoon että käyttämäni virtualserver-toimittaja ei anna kuin yhden osion mitä käyttää.

[INFO]: Starting rootcheck scan.
[OK]: No presence of public rootkits detected. Analyzed 270 files.
[OK]: No binaries with any trojan detected. Analyzed 79 files.
[INFO]: System Audit: CIS -
Testing against the CIS Debian Linux Benchmark v1.0. File: /proc/sys/kernel/ostype.
Reference: http://www.ossec.net/wiki/index.php/CIS_DebianLinux .
[INFO]: System Audit: CIS - Debian Linux 1.4 Robust partition scheme
/tmp is not on its own partition. File: /etc/fstab.
Reference: http://www.ossec.net/wiki/index.php/CIS_DebianLinux .
....

No Comments yet »

RSS feed for comments on this post. TrackBack URI

Leave a comment

XHTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

^Top^

Powered by WordPress RSS and comments RSS feed available