Средства мониторинга за состоянием серверов с точки зрения секьюрности

А кто этого демона будет контролировать?

Другой демон запущенный на другом сервере.

Они собственно друг друга... контролируют... попарно.

Я наверное сегодня как-то непонятно объясняю....

Ок, злоумышленник взламывает оба сервера и гасит на них демоны

Что дальне?

Ничего.

Это из серии "злоумышленник вламывается к вам в дом и гасит вас".

В принципе, можно и более разветвленную систему построить, но смысл...

ЗЫ. Я нифига ничего не пропагандирую, мне наоборот интересно как лечат

в других местах.

как то обсуждение далко оторвалось от прикладной области, для начала хотелось бы понять о какой OS идет речь. Хотя все похоже имею в виду UNIX.

Насчет демона, есть проект samhain (http://la-samhna.de/samhain/) который как раз выполняет контроль целостности системы, следит за лог файлами. Для мониторинга использует центральную "доверенную" базу данных, использует критографию для контроля целостности. Умеет прятаться в системе используя технологии руткитов (stealth mode). Но на практике его мало кто использует.

Самое простое - виртуализировать сервер и пускать все опасное внутри, а снаружи хранить базу с чексумами.

Сам физический сервак засекуривается по-неохчу и все

Если уж мы говорим о наивысшей степени паранои, то чтобы доверять контрольным сумам из виртуальной машины необходимо будет получать доступ к ее файловой системе минуя гостевую OS и желательно не оставливая при этом виртуалку. есть желающий пошаманить ? :)

А в чем проблема

Виртуалка на lvm, снапшот и в перед

Было бы желание

даже снапшот не нужен - мониторить надо неизменяющиеся файлы, которые меняются только при апдейтах системы. А эти апдейты уже придётся делать как-то хитро, чтобы автоматом изменившиеся файлы проверять на подлинность. С Дебианом я бы просто контрольные суммы сравнивал с дистрибутивом.

А если виртуалку сделать на OpenVZ? Тогда руткиты не прорвутся, а проверять файлы можно будет прямо с ноды.