<br><br><div class="gmail_quote">On Sun, Nov 29, 2009 at 7:55 AM, Rob Kampen <span dir="ltr"><<a href="mailto:rkampen@kampensonline.com">rkampen@kampensonline.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
David McGuffey wrote:<br>
<blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
Starting with a fresh load and after I finish hardening the load<br>
following the Center for Internet Security (CIS) guidance, I'm wondering<br>
whether AIDE or OSSEC would be a better intrusion detection system.<br>
<br>
I installed AIDE and did a quick test of AIDE and after initializing the<br>
db and applying the recent cups update, I found that 1700+ files had<br>
changed.  Those are a lot of changes to wade through to determine if<br>
they are legit or not. If that is all that AIDE can do, then it is not<br>
"manageable."<br>
<br>
Seems to me that any IDS must be tied to the yum update process so that<br>
one is not dealing with hundreds/thousands of changes that were brought<br>
in by a yum update that I choose to apply.<br>
<br>
Is OSSEC any less noisy?<br>
<br>
DaveM<br>
<br>
<br></blockquote></blockquote><div><br>Also, check out <a href="http://ftimes.sourceforge.net/FTimes/index.shtml">http://ftimes.sourceforge.net/FTimes/index.shtml</a><br><br>Even if you choose another tool, I recommend reading their paper.<br>
<a href="http://ftimes.sourceforge.net/FTimes/Papers.shtml">http://ftimes.sourceforge.net/FTimes/Papers.shtml</a><br><br>And the related tools hashdig and XMagic are worth a look.<br> </div><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
<blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
_______________________________________________<br>
CentOS mailing list<br>
<a href="mailto:CentOS@centos.org" target="_blank">CentOS@centos.org</a><br>
<a href="http://lists.centos.org/mailman/listinfo/centos" target="_blank">http://lists.centos.org/mailman/listinfo/centos</a><br>
  <br>
</blockquote>
I run both of these on my servers.<br>
AIDE is noisy, however it is simple to scroll through the list of files that it shows and determine that the folders with all the changes relate to the yum update or install that I know about. After a yum update, I run another aide --init and cp the new db over the old one - I do this once a week after the logrotate takes place, thus most days have only two ~ ten files to look at.<br>

BUT the real outcome is I get to sleep easy knowing that something will know about every file change.<br>
OSSEC can also be noisy but it also adds some other useful monitoring and emails me when certain events occur.<br>
Most of these event I know about, thus I delete the email and life is good. The real benefit is that if the number of log messages suddenly grows I get warned, if I get 10 tries from one IP address to dovecot using different hostnames I get warned etc...<br>

I get to choose the level of response, by applying my experience and expectations to the mix.<br>
I do not think there is any tool you can just set and forget for IDS functions.<br>
HTH<br>
<br>_______________________________________________<br>
CentOS mailing list<br>
<a href="mailto:CentOS@centos.org">CentOS@centos.org</a><br>
<a href="http://lists.centos.org/mailman/listinfo/centos" target="_blank">http://lists.centos.org/mailman/listinfo/centos</a><br>
<br></blockquote></div><br><br clear="all"><br>-- <br>Drew Einhorn<br>