Ossec HIDS

Ossec logo
Ossec on laajasti mielenkiintoa herättänyt open-source HIDS/HIPS (hyökkäyksien havainnonti- ja/tai torjumisjärjestelmä) *nix ja Windows käyttöjärjestelmille. Kyseisellä ohjelmistolla voidaan havainnoida sekä tiedostojärjestelmän muutoksia, että poimia lokitiedostoista normaalista poikkeavia tapahtumia ja hälyttää niistä ylläpitäjää.

Olen itse käyttänyt ja seurannut tuotteen kehittymistä jo jonkin aikaa. Seuraava iso askel kehityksessä otetaan versiossa 1.6, kun mukaan tulee nyt testivaiheessa olevat CIS-bencmark testit. Näiden testien avulla ossec osaa auditoida myös järjestelmän konfiguraatiota CIS:n (Center for Internet Security) laatimen hyvien käytäntöjen tarkastuslistoja vastaan.

Esimerkkinä CIS-auditoinnista sain huomautuksen siitä, ettei tietyt hakemistot ole erillisillä osioilla. Selittelynä todettakoon että käyttämäni virtualserver-toimittaja ei anna kuin yhden osion mitä käyttää.

[INFO]: Starting rootcheck scan.
[OK]: No presence of public rootkits detected. Analyzed 270 files.
[OK]: No binaries with any trojan detected. Analyzed 79 files.
[INFO]: System Audit: CIS - 
Testing against the CIS Debian Linux Benchmark v1.0. File: /proc/sys/kernel/ostype. 
Reference: http://www.ossec.net/wiki/index.php/CIS_DebianLinux .
[INFO]: System Audit: CIS - Debian Linux 1.4 Robust partition scheme 
/tmp is not on its own partition. File: /etc/fstab. 
Reference: http://www.ossec.net/wiki/index.php/CIS_DebianLinux .
....