Ce logiciel permet de créer une base de donnée en fonction de règles que l'on définit dans le fichier aide.conf, selon que l'on regarde tel ou tel répertoire, selon que l'on vérifie s'il n'y a pas de nouveaux fichiers, de changements de propriétaires... et cette base est ensuite comparée, à un instant donnée, à un scan du disque dur.
Il en sort un rapport qui signale tout ce qui est suspect (par rapport aux règles définies). Il est très paramétrable et est très utile si on veut vérifier par exemple toutes les 5 min que le répertoire hébergeant son site Web ne contient de fichiers indésirables ;-)
Ce logiciel est à utiliser en complément d'un autre système de protection plus performant (Netfilter...).
Aller plus loin
- AIDE (164 clics)
- L'aide officielle (157 clics)
- tutoriel (385 clics)
- autre tutoriel (262 clics)
# Un autre IDS
Posté par Yann Droneaud (site web personnel) . Évalué à 2.
http://www.prelude-ids.org/(...)
Il a la particularite d'etre reparti:
c'est modulaire, les alertes sont remontees,
vers une base centrale.
Prelude is a new innovative hybrid Intrusion Detection system designed to be very modular, distributed, rock solid and fast.
(C'est encore de la pub deguise pour TuxFamily.org, alors -1)
[^] # Re: Un autre IDS
Posté par Guillaume POIRIER . Évalué à 1.
http://www.tripwire.com/products/linux/(...)
et : http://www.tripwire.org/(...)
Tripwire is a tool that checks to see what has changed on your system. The program monitors key attributes of files that should not change, including binary signature, size, expected change of size, etc. The hard part is doing it the right way, balancing security, maintanence, and functionality.
La version OpenSource est livree en standard dans la distribution RedHat (que beaucoup commencent a denigrer, je sais)
-1 parceque c'est presque un Troll de distrib
[^] # Re: Un autre IDS
Posté par Amaury . Évalué à 10.
Les 2 softs font des choses biens différentes, et complémentaires.
Si tu veux un équivalent de AIDE, va plutôt chercher du coté de Tripwire (quoi que je ne soit pas certain du type de licence)...
[^] # Re: Un autre IDS
Posté par vjm . Évalué à 10.
Cependant, depuis 1 an le développement s'est orienté vers un IDS complet et extrêmement modulaire.
Prelude possède donc un module nommé prelude-lml qui permet de faire très facilement de la remontée de log (pour PaX par exemple), ainsi qu'une extension à LibSafe permettant de logguer les alertes libsafe dans la db d'un Manager Prelude, en idmef.
Prelude est donc aussi un HIDS, et il ne devrait pas être difficile d'écrire un plugin à prelude-lml pour AIDE, ou directement lui faire envoyer les alertes à un Manager.
http://www.prelude-ids.org/index.php?langue=&page=19(...)
Prelude et son équipe se trouveront au LSM'02 (plusieurs membres de l'équipe sont de l'ENSEIRB, dont le co-organisateur du topic sécurité)
[^] # Re: Un autre IDS
Posté par Amaury . Évalué à 2.
Mouahaha. je t'ai vexé ?
> Prelude est donc aussi un HIDS, et il ne devrait
> pas être difficile d'écrire un plugin à
> prelude-lml pour AIDE, ou directement lui faire
> envoyer les alertes à un Manager.
Donc on parle bien de la même chose. Aujourd'hui, Prelude ne fait pas de détection d'intrusion "à la Tripwire" en faisant du contôle d'intégrité de fichiers.
Faut pas mal le prendre, hein, celà ne veut pas dire que Prelude n'est pas un bon soft que de dire qu'il ne fait pas telle ou telle chose.
[^] # Re: Un autre IDS
Posté par vjm . Évalué à -3.
"(*N*IDS)"
C'est pas juste ça, c'est un IDS total ./
# Netfilter / A.I.D.E
Posté par Baptiste SIMON (site web personnel) . Évalué à 10.
Je prends l'exemple du site web :
- Un défaut de programmation du site web pourra permettre de placer un fichier (exécutable (genre PHP, CGI ou autre) ?) dans l'arborescence du site à un endroit non prévu à cet effet. Là, A.I.D.E sera très utile alors que Netfilter n'aura rien à faire dans l'histoire.
- <exempleAbsurde dangeurosité="maximale">Un accès FTP anonyme (dont l'accès en écriture est autorisé) prévu pour ne fonctionner que dans le cadre d'un réseau local (de confiance) sera stoppé par NetFilter. Compter sur A.I.D.E pour nous prévenir revient à préférer "guérir" à "prévenir".</exempleAbsurde>
note : Je sais que mes exemples (surtout le second) ne sont pas les meilleurs, mais ce sont les premiers qui me viennent à l'esprit.
Netfilter et A.I.D.E n'agissant pas sur les mêmes symptomes, dire que l'un est plus performant que l'autre me semble déplacé. Cependant, des outils comme A.I.D.E semblent permettre de faire des diagnotics précis et performants. Je place la mise en place de ce dernier sur la liste des tests à effectuer...
<précision>Site de Netfilter [ http://netfilter.samba.org/(...) ]</précision>
# dites moi si je me trompe, mais ...
Posté par Pierre Habouzit . Évalué à 5.
NetFilter est bien la couche de filtrage ip du noyau non ? en quoi seraitce plus efficace ou moins efficace qu'AIDE qui est un IDS ?
Ces systèmes de protections (IDS, firewall --oui je sais, NetFilter c'est plus qu'un firewall--) sont à utiliser en coopération? il n'est pas question de performances, il ne font pas le même travail.
[^] # Re: dites moi si je me trompe, mais ...
Posté par Baptiste SIMON (site web personnel) . Évalué à -4.
Cependant ta réflexion est mieux construite que celle de l'autre thread (à mon avis... et comme l'autre est de moi... mdr), alors tu as le droit à un petit [+]...
--
-1... parce que !
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.