mrvanes
commented
2 years ago Closed baszoetekouw closed 2 years ago
mrvanes
commented
2 years ago 
baszoetekouw
commented
2 years ago Ik was ook nog deze tegengekomen: https://www.la-samhna.de/samhain/s_documentation.html
@mrvanes zou jij deze twee eens kunnen uitproberen en je bevindingen (kort) kunnen opschrijven? Ik ben vooral benieuwd wat voor security het toevoegt, en hoe het is beschermd tegen een aanvaller die de binary of databse van de tool zelf aanpast.
baszoetekouw
commented
2 years ago IA/IS doet er ook iets mee: https://confluence.ia.surf.nl/pages/viewpage.action?pageId=16924747 Specifiek gebruiken ze Suricata https://suricata.io/
mrvanes
commented
2 years ago Samhain installeren is iig geen sinecure en op debian niet uit packages (hoewel er wel een samhain package is, maar dat is alleen de client, niet de "yule" server): https://howtoforge.com/host-based-intrusion-detection-samhain
mrvanes
commented
2 years ago Een simpelere tripwire, beter onderhouden https://github.com/aide/aide
mrvanes
commented
2 years ago Inzicht na discussie met Pieter: eigenlijk zou je OS integrity moeten testen op je virtualisatie platform, buiten je OS om en daarboven op de deploy specifieke files checken.
Een andere oplossing is eventueel met het package management tool de integriteit van alle OS packages checken: https://manpages.org/debsums
baszoetekouw
commented
2 years ago Conclusie voor nu: weinig winst te behalen tenzij we iets in het VM-platform kunnen doen. Misschien later naar kijken als de SVP/CMP migratie dingus is afgerond.
Check dat systeem in vertrouwde staat is, en wijzigingen opmerken. ZIjn vast standaard tools voor.