PyHIDS
Le week-end dernier a été l’occasion de reprendre un petit projet commencé en 2008. Le code source de pyHIDS est depuis 2010 dans un dépôt Mercurial et est à labandon. Le programme fonctionnait déjà assez bien à lépoque puisquil était utilisé dans le but de vérifier lintégrité de mon ordinateur durant les deux années qui ont suivi sa création (sur une Mandriva Cooker).
pyHIDS fonctionne maintenant avec Python 3.2 et est aussi plus rapide, j’ai appliqué les conseils d’un commentaire bienveillant.
À lépoque jutilisais une version fait maison de RSA, dorénavant cette excellente implémentation est utilisée. Cela facilite l’installation.
J’ai également amélioré et facilité la configuration qui se fait maintenant dans un fichier de configuration dédié. D’autres changements sont prévus à ce niveau.
Fonctionalités:
- génération de clés RSA afin de vérifier lintégrité de la base. Après génération de la base dans lidéal il faut supprimer la clé privé de l’ordinateur surveillé;
- notifications des modifications sur le système via Syslog ou envoie de-mail;
- notifications par e-mail des exécutions de pyHIDS, même lorsque lintégrité du système est préservée. Ceci pour éviter qu’un attaquant ne supprime les règles cron;
- enregistrement de tous les événements dans un fichier avec un format standard. Ce qui va me permettre d’écrire un petit parseur CGI afin dexposer les derniers événements (heures de scan du système, heures de détection de problèmes, etc.).
Le projet a une page Freecode pour suivre les mises à jour.