Odpowiedzi:
Pierwotnie wydany w 1998 r. Przez założyciela Sourcefire i dyrektora technicznego Martina Roescha, Snort to darmowy system wykrywania włamań i zapobiegania włamaniom do sieci o otwartym kodzie źródłowym, zdolny do przeprowadzania analizy ruchu w czasie rzeczywistym i rejestrowania pakietów w sieciach IP. Początkowo nazywany „lekką” technologią wykrywania włamań, Snort przekształcił się w dojrzałą, bogatą w funkcje technologię IPS, która stała się de facto standardem w wykrywaniu włamań i zapobieganiu im. Dzięki prawie 4 milionom pobrań i około 300 000 zarejestrowanych użytkowników Snort jest najczęściej stosowaną technologią zapobiegania włamaniom na świecie.
Dlaczego nie sprawdzisz http://sectools.org/
OpenBSD ma mtree (8): http://www.openbsd.org/cgi-bin/man.cgi?query=mtree Sprawdza, czy jakieś pliki uległy zmianie w danej hierarchii katalogów.
Logcheck to proste narzędzie, które pozwala administratorowi systemu na przeglądanie plików dziennika, które są tworzone na hostach pod ich kontrolą.
Robi to, wysyłając do nich streszczenia plików dziennika, po uprzednim odfiltrowaniu „normalnych” wpisów. Normalne wpisy to wpisy, które pasują do jednego z wielu zawartych w bazie danych plików wyrażeń regularnych.
Powinieneś obserwować swoje dzienniki jako część zdrowej procedury bezpieczeństwa. Pomoże również w pułapce wielu innych anomalii (sprzęt, uwierzytelnianie, ładowanie ...).
Dla NIDS Suricata i Bro to dwie bezpłatne alternatywy dla parskania.
Oto interesujący artykuł omawiający wszystkie trzy z nich:
http://blog.securitymonks.com/2010/08/26/three-little-idsips-engines-build-their-open-source-solutions/
Muszę wspomnieć o OSSEC , który jest HIDS.
Second Look to produkt komercyjny, który jest potężnym narzędziem do wykrywania włamań w systemach Linux. Korzysta z kryminalistyki pamięci, aby zbadać jądro i wszystkie uruchomione procesy i porównać je z danymi referencyjnymi (pochodzącymi od dostawcy dystrybucji lub autoryzowanego oprogramowania niestandardowego / zewnętrznego). Stosując to podejście do weryfikacji integralności, wykrywa rootkity jądra i backdoory, wstrzykiwane wątki i biblioteki oraz inne złośliwe oprogramowanie dla Linuksa działające w twoim systemie, bez sygnatur ani innej wiedzy o tym szkodliwym oprogramowaniu z góry.
Jest to komplementarne podejście do narzędzi / technik wymienionych w innych odpowiedziach (np. Sprawdzanie integralności plików za pomocą Tripwire; wykrywanie włamań przez sieć za pomocą Snorta, Bro lub Suricata; analiza logów itp.)
Uwaga: Jestem programistą Second Look.