Categories
Security

pyHIDS: notifications Bitmessage

Il est maintenant possible de s’abonner à une adresse Bitmessage qui recevra les notifications de pyHIDS. Vous pouvez jeter un œil à la documentation de l’API de Bitmessage.

Categories
Security

pyHIDS: Alertes IRC

pyHIDS peut maintenant envoyer des alertes sur un channel IRC via irker, comme le montre la capture d’écran ci-dessous.

pyHIDS-irker

Le channel IRC est à spécifier dans le fichier de configuration de pyHIDS.
Évidemment ceci n’empêche pas d’envoyer les alertes par email ou dans le fichier syslog en même temps.

Autre amélioration, le fichier de configuration permet maintenant de tout configurer, enfin!

[globals]
nb_bits = 752
[irc]
channel = irc://chat.freenode.net/#testpyHIDS
[email]
enabled = 0
mail_from = pyHIDS@no-reply.com
mail_to = you_address
smtp = SMTP_server
username = your_username
password = your_password
[files]
file1 = /etc/crontab
file2 = /boot/grub/grub.cfg
file3 = /etc/shadow
file4 = /etc/networks
[rules]
rule1 = conf /etc
rule2 = list /etc/apt
[commands]
iptables = /sbin/iptables -L

La documentation explique le rôle des différentes sections (le fichier n’est pas très compliqué). La première section indique la taille de la clé RSA à générer. La section rules permet de fixer des expressions régulières afin de trouver des fichiers dans un dossier. La dernière section, commands spécifie les commandes à exécuter pour vérifier si la sortie est toujours la même.

Categories
Security

pyHIDS

Le week-end dernier a été l’occasion de reprendre un petit projet commencé en 2008. Le code source de pyHIDS est depuis 2010 dans un dépôt Mercurial et est à l’abandon. Le programme fonctionnait déjà assez bien à l’époque puisqu’il était utilisé dans le but de vérifier l’intégrité de mon ordinateur durant les deux années qui ont suivi sa création (sur une Mandriva Cooker).

pyHIDS fonctionne maintenant avec Python 3.2 et est aussi plus rapide, j’ai appliqué les conseils d’un commentaire bienveillant.
À l’époque j’utilisais une version fait maison de RSA, dorénavant cette excellente implémentation est utilisée. Cela facilite l’installation.
J’ai également amélioré et facilité la configuration qui se fait maintenant dans un fichier de configuration dédié. D’autres changements sont prévus à ce niveau.

Fonctionalités:

  • génération de clés RSA afin de vérifier l’intégrité de la base. Après génération de la base dans l’idéal il faut supprimer la clé privé de l’ordinateur surveillé;
  • notifications des modifications sur le système via Syslog ou envoie d’e-mail;
  • notifications par e-mail des exécutions de pyHIDS, même lorsque l’intégrité du système est préservée. Ceci pour éviter qu’un attaquant ne supprime les règles cron;
  • enregistrement de tous les événements dans un fichier avec un format standard. Ce qui va me permettre d’écrire un petit parseur CGI afin d’exposer les derniers événements (heures de scan du système, heures de détection de problèmes, etc.).

Le projet a une page Freecode pour suivre les mises à jour.