Amis pingouins bonsoir !
Je dois installer un controleur d'integrité de fichier tournant sous RHEL 5.
Pour l'instant hormis AFICK , j'ai pas trouver grand de palpitant.
J'aimerais un truc avec une interface graphique et un café bien sucré.

Plus sérieusement , si t'as ce genre de logiciels sur tes serveurs, j'veux bien en causer !

De rien.

OMG, Je ne sais même pas de quoi tu parles.

Sinon, sympa la machine à expresso avec interface graphique...

Bah en gros un soft qui prend un empreinte référence des fichiers racines ou importants et effectue une nouvelle emmpreinte pour verifier si y a pas eu de modif suspecte.

Pour les empreintes faudrait voir avec eux, mais j'ai pas leur mail

stillcut a écrit
Bah en gros un soft qui prend un empreinte référence des fichiers racines ou importants et effectue une nouvelle emmpreinte pour verifier si y a pas eu de modif suspecte.

Il suffit de faire un bête script avec la fonction md5sum ou sha1sum qui se balade dans toute ton arborescence (du moins celle utile, pas les fichiers temporaires) et qui envoie un mail s'il y a une merdouille.

Sinon si tu ne veux pas écrire de code, sache que ça existe déjà et ça s'appelle Tripwire.

- version open source et libre : url : http://sourceforge.net/projects/tripwire/ et url : http://www.tripwire.com/products/enterprise/ost/

- version commerciale : url : http://www.tripwire.com/

Il y a peut-être une interface kikolol avec la version commerciale. Jamais testé.

Possible qu'il existe d'autres logiciels pour cela, mais Tripwire est de loin le plus connu et utilisé.

Dernière modification le 11/01/08 à 14:35 par Ellendhel

Au final , j'ai opté pour Samhain.
Pourquoi ?
car c'est open-source, contrairement a Tripwire ou seul le stand alone est libre.
Car le projet est toujours en activité.
C'est une archi client serveur.
Une appli web permet visualisation des logs et update des databases.
Les fichiers de conf' comme les databases sont sur le serveur.
Possibilité de modifier le nom et le PID du daemon sur le client.

url : http://www.la-samhna.de/samhain

J'tiens un tuto a dispo de ceux que ca interesse.

stillcut a écrit
Au final , j'ai opté pour Samhain.

url : http://www.la-samhna.de/samhain

J'tiens un tuto a dispo de ceux que ca interesse.

Tiens je ne connaissais pas. Ça m'intéresse (et surement Kane aussi).

Ellendhel a écrit

stillcut a écrit
Au final , j'ai opté pour Samhain.

url : http://www.la-samhna.de/samhain

J'tiens un tuto a dispo de ceux que ca interesse.

Tiens je ne connaissais pas. Ça m'intéresse (et surement Kane aussi).

Bof, si un hacker m'a modifié des fichiers systèmes, je suis déjà baisé.
En plus je reçoit déjà 20+ logs par jour... pas envie d'un de plus.

Je préfère passer du temps à sécuriser AVANT les emmerdes, pas après. Pour l'après, il y a les backups...

Kane a écrit

Bof, si un hacker m'a modifié des fichiers systèmes, je suis déjà baisé.
En plus je reçoit déjà 20+ logs par jour... pas envie d'un de plus.

Je préfère passer du temps à sécuriser AVANT les emmerdes, pas après. Pour l'après, il y a les backups...

Je comprends bien, mais le tout est de savoir quand on se fait pwner : un contrôleur d'intégrité peut aider à savoir qu'un malfaisant a réussi à s'introduire subrepticement, et on peut le détecter avant qu'il ne commence à utiliser la bande passante pour son usage (ce n'est pas nécessairement immédiat).

Je suis bien d'accord que cela ne fait pas tout, qu'il y a toujours des fausses alarmes, mais sur certains serveurs exposés (web en particulier) c'est un des outils à prendre en compte.

stillcut, et ce tuto (bordel) ?

Je te mp ca d'ici deux,trois jours.

T'as quoi comme distri sur tes serveurs ?

Dernière modification le 26/02/08 à 00:23 par stillcut

Slackware.

Sauf spécificité infâme lié au bidule, je me débrouille pour faire l'adaptation.

Merci d'avance.