Al ser bastante nuevo tanto para AIDE como para OSSEC, he estado tratando de descubrir si hay algún conflicto potencial para tenerlos instalados en un host (CentOS 7.5). Parece que podrían funcionar como un enfoque de múltiples capas, pero no he podido encontrar mucho sobre cómo ejecutar el tándem. Y, por supuesto, ¿habría una diferencia en la ejecución de OSSEC localmente en comparación con un agente en la máquina con AIDE? Gracias.
He usado AIDE en el pasado y solo realiza el monitoreo de integridad de archivos. Crea una base de datos cuando instala por primera vez la misma, probablemente asignando hashes junto con los nombres de archivo respectivos. Esto es útil cuando desea ver cualquier programa / malware que modifique los archivos.
Dijo que, OSSEC es más superconjunto. Lea: "AIDE solo realiza comprobaciones de integridad de archivos. No comprueba si hay rootkits o archivos de registro de análisis de actividad sospechosa, como hacen otros HIDS (como OSSEC)". de este sitio
No veo ningún problema con ambos ejecutándose en el mismo sistema, pero no veo valor en tener ambos a menos que encuentre algo que demuestre que OSSEC es propenso a la colisión de hash.
Para responder a la segunda parte de su pregunta, la decisión de implementar OSSEC en el modo Administrador / Agente o en el modo independiente depende del requisito. Si hay cientos de hosts, desea una administración centralizada donde toda la base de datos se almacena en el lado del servidor.