[HACK] [host ids] aide vs samhain
Jorge Salamero
bencer at cauterized.net
Thu Jul 28 18:52:28 CEST 2005
saludos lista,
llevo un par de días mirando host ids y los que me parecen más completos son
aide y samhain, cuyo autor ha escrito una comparativa interesante [0].
aide parece más sencillo de configurar sin embargo samhain ofrece detección de
rootkits además de opciones de ofuscación (cambio de nombre, de
comportamiento, incluso ocultación como módulo del kernel)
samhain puede correr en modo demonio auditando el sistema continuamente lo
cual no sé hasta que punto es una ventaja, creo que es más seguro subir al
servidor mi binario estático y la base de datos, que mantenerla en el
servidor (aunque esté cifrada y firmada), no se si se podría modificar el
demonio en ejecución.
las opciones de monitorización en red que aporta samhain no las necesito pues
se trata de un sólo host.
sé que en debian se ha usado aide, no sé lo que usarán ahora. alguien que haya
usado ambos que opina ? o los que usen aide, suplen las características que
aporta samhain con aplicaciones como chkrootkit ?
[0] http://www.la-samhna.de/library/scanners.html
--
Jorge Salamero Sanz (bencer)
mail: <bencer at cauterized.net>
blog: <http://bys.cauterized.net/>
http: <http://www.cauterized.net/>
-------------- next part --------------
A non-text attachment was scrubbed...
Name: not available
Type: application/pgp-signature
Size: 189 bytes
Desc: not available
URL: <https://mailman.jcea.es/pipermail/hacking/attachments/20050728/98a94615/attachment.sig>
More information about the hacking
mailing list