Réponses:
De leur page sur :
Initialement publié en 1998 par le fondateur de Sourcefire et CTO Martin Roesch, Snort est un système gratuit et open source de détection et de prévention des intrusions sur le réseau capable d'effectuer une analyse du trafic et une journalisation des paquets en temps réel sur les réseaux IP. Initialement appelée technologie de détection d'intrusion «légère», Snort est devenue une technologie IPS mature et riche en fonctionnalités qui est devenue la norme de facto en matière de détection et de prévention des intrusions. Avec près de 4 millions de téléchargements et environ 300 000 utilisateurs enregistrés Snort, il s'agit de la technologie de prévention des intrusions la plus déployée au monde.
Pourquoi ne consultez-vous pas http://sectools.org/
OpenBSD a mtree (8): http://www.openbsd.org/cgi-bin/man.cgi?query=mtree Il vérifie si des fichiers ont changé dans une hiérarchie de répertoires donnée.
Logcheck est un utilitaire simple conçu pour permettre à un administrateur système d'afficher les fichiers journaux produits sur les hôtes sous leur contrôle.
Il le fait en leur envoyant des résumés des fichiers journaux, après avoir filtré les entrées "normales". Les entrées normales sont des entrées qui correspondent à l'un des nombreux fichiers d'expressions régulières inclus dans la base de données.
Vous devez regarder vos journaux comme une partie d'une routine de sécurité saine. Cela aidera également à piéger de nombreuses autres anomalies (matériel, authentification, charge ...).
Pour NIDS, Suricata et Bro sont deux alternatives gratuites à snort.
Voici un article intéressant sur les trois:
http://blog.securitymonks.com/2010/08/26/three-little-idsips-engines-build-their-open-source-solutions/
Je dois mentionner OSSEC , qui est un HIDS.
Second Look est un produit commercial qui est un outil puissant pour la détection d'intrusions sur les systèmes Linux. Il utilise la criminalistique de la mémoire pour examiner le noyau et tous les processus en cours d'exécution et les compare aux données de référence (du fournisseur de distribution ou d'un logiciel personnalisé / tiers autorisé). En utilisant cette approche de vérification d'intégrité, il détecte les rootkits et les backdoors du noyau, les threads et les bibliothèques injectés et les autres logiciels malveillants Linux exécutés sur vos systèmes, sans signature ni autre connaissance a priori du logiciel malveillant.
Il s'agit d'une approche complémentaire aux outils / techniques mentionnés dans d'autres réponses (par exemple, les contrôles d'intégrité des fichiers avec Tripwire; la détection d'intrusion basée sur le réseau avec Snort, Bro ou Suricata; l'analyse des journaux; etc.)
Avertissement: je suis un développeur de Second Look.