认识Linux平台四大IDS入侵检测工具(2)

简洁方便：chkrootkit和rootkit

Rootkit检测程序chkrootkit和rootkit Hunter也算是老牌的rootkit检测程序了。很明显，在从一个不可写的外部设备运行时，它们是更可信任的工具，如从一个CD或写保护的USB驱动器上运行时就是这样。笔者喜欢SD卡，就是因为那个写保护的的开关。这两个程序可以搜索已知的rooktkit、后门和本地的漏洞利用程序，并且可以发现有限的一些可疑活动。我们需要运行这些工具的理由在于，它们可以查看文件系统上的/proc、ps和其它的一些重要的活动。虽然它们不是用于网络的，但却可以快速扫描个人计算机。

多面手：Tripwire

Tripwire是一款入侵检测和数据完整性产品，它允许用户构建一个表现最优设置的基本服务器状态。它并不能阻止损害事件的发生，但它能够将目前的状态与理想的状态相比较，以决定是否发生了任何意外的或故意的改变。如果检测到了任何变化，就会被降到运行障碍最少的状态。

如果你需要控制对Linux或UNIX服务器的改变，可以有三个选择：开源的Tripwire、服务器版Tripwire、企业版Tripwire。虽然这三个产品有一些共同点，但却拥有大量的不同方面，使得这款产品可以满足不同IT环境的要求。

如开源的Tripwire对于监视少量的服务器是合适的，因为这种情形并不需要集中化的控制和报告；服务器版Tripwire对于那些仅在Linux/UNIX/Windows平台上要求服务器监视并提供详细报告和最优化集中服务器管理的IT组织是一个理想的方案；而企业版Tripwire对于需要在Linux/UNIX/Windows服务器、数据库、网络设备、桌面和目录服务器之间安全地审核配置的IT组织而言是最佳选择。