guimbert wrote:
Bonjour, j'ai installé une Debian dans un intranet protégé par firewall. Il se contente de faire tourner Samba sans contrôle de domaine. J'aimerai être alerté par mails des différents problèmes (tentatives de connections...). J'ai trouvé plusieurs appli :Je connais Snort et Logcheck, et je les trouve tous les 2 intéressants et complémentaires. Snort surveille la partie réseau (ce qui passe sur le réseau, même si ce n'est pas envoyé spécifiquement à la machine l'hébergeant). Logcheck apporte une lecture plus aisée des fichiers de log, et donc je dirai qu'il est plus orienté "sécurité du système hôte". Les 2 sont simples d'utilisation/installation. Snort plus simple dans l'exploitation des résultats, car il donne des indications sur l'alerte remontée (niveau de sévérité, lien vers un bulletin d'alerte décrivant les risques et causes, ...)snort Portsentry ippl iplogger LogcheckJe pense que certaines sont superflues car je suis protégés par le firewall mais bon... Lequel me conseillez-vous sachant que je suis plutôt dans la catégorie NeuNeu et que pour moi l'installation de ssh et Samba est une grande victoire :)
Dans le même style (IDS pour Intrusion Detection System), Prelude-IDS permet de faire IDS réseau comme Snort _et_ IDS hôte comme Logcheck. Il n'est pas pour l'instant compris dans la distribution, et l'installation par les sources est un peu complexe pour un débutant. En revanche, il existe des .deb non-officieux que je n'ai pas testé...
Dernier point, on passe pas une interface web pour consulter les alertes de Snort et Prelude. Sauf erreur de ma part, ils ne remontent pas les alertes par email. Logcheck si.
Bonne soirée Guillaume Lehmann