Documentation<Précédent | Table des matières | Suivant>
Si quoi que ce soit, la manière UNIX de consigner toutes sortes d'activités dans toutes sortes de fichiers confirme que "il fait quelque chose". Bien entendu, les fichiers journaux doivent être vérifiés régulièrement, manuellement ou automatiquement. Les pare-feu et autres moyens de contrôle d'accès ont tendance à créer d'énormes quantités de fichiers journaux, l'astuce consiste donc à essayer de ne consigner que les activités anormales.
10.5.5. Détection d'intrusion
Les systèmes de détection d'intrusion sont conçus pour détecter ce qui aurait pu passer le pare-feu. Ils peuvent être conçus soit pour détecter une tentative d'effraction active en cours, soit pour détecter une effraction réussie après coup. Dans ce dernier cas, il est trop tard pour éviter tout dommage, mais au moins nous avons une prise de conscience précoce d'un problème. Il existe deux types de base d'IDS : ceux qui protègent les réseaux et ceux qui protègent les hôtes individuels.
Pour les IDS basés sur l'hôte, cela est fait avec des utilitaires qui surveillent le système de fichiers pour les modifications. Les fichiers système qui ont changé d'une manière ou d'une autre, mais ne devraient pas changer, sont un signe évident que quelque chose ne va pas. Toute personne qui entre et obtient un accès root apportera probablement des modifications au système quelque part. C'est généralement la toute première chose à faire, soit pour qu'il puisse rentrer par une porte dérobée, soit pour lancer une attaque contre quelqu'un d'autre, auquel cas, il doit modifier ou ajouter des fichiers au système. Certains systèmes sont fournis avec le tripwire système de surveillance, qui est documenté sur le site Web du projet Open Source Tripwire.