AIDEとOSSECの競合?
AIDEとOSSECの両方にかなり新しいので、両方を1つのホスト(CentOS 7.5)にインストールすることで潜在的な競合がないか調べようとしています。多層的なアプローチとして機能するように見えますが、タンデムで実行することについてはあまりわかりませんでした。そしてもちろん、それらをOSSECをローカルで実行する場合と、AIDEを使用するマシンでエージェントを実行する場合では、違いがありますか?ありがとう。
私は過去にAIDEを使用したことがあり、ファイルの整合性監視のみを実行します。同じファイルを最初にインストールしたときにデータベースを作成します。おそらく、それぞれのファイル名とともにハッシュをマッピングします。これは、マルウェア/プログラムがどのファイルを変更するのかを確認するときに便利です。
とはいえ、OSSECはよりスーパーセットです。 「AIDEはファイルの整合性チェックのみを行います。他のHIDS(OSSECなど)のように、疑わしいアクティビティがないかルートキットや解析ログファイルをチェックしません。」から このサイト
どちらも同じシステムで実行しても問題はありませんが、OSSECがハッシュ衝突を起こしやすいことを証明するものを見つけない限り、両方を使用しても意味がありません。
質問の2番目の部分に答えるために、OSSECをマネージャー/エージェントモードまたはスタンドアロンモードで展開するかどうかの決定は、要件によって異なります。数百のホストがある場合、すべてのデータベースがサーバー側に格納される集中管理が必要です。