Essendo abbastanza nuovo sia per AIDE che per OSSEC, ho cercato di scoprire se ci sono dei potenziali conflitti nell'avere entrambi installati su un host (CentOS 7.5). Sembra che potrebbero funzionare come un approccio a più livelli, ma non sono stato in grado di trovare molto sull'esecuzione del tandem. E ovviamente ci sarebbe una differenza nell'esecuzione di OSSEC localmente rispetto a un agente sulla macchina con AIDE? Grazie.
Ho usato AIDE in passato e svolge solo il monitoraggio dell'integrità dei file. Crea un database quando si installano per la prima volta gli stessi hash di mappatura, insieme ai rispettivi nomi di file. Questo è utile quando vuoi vedere qualsiasi malware / programma cambia quali file.
Detto questo, l'OSSEC è più superset. Leggi "AIDE esegue solo i controlli di integrità dei file. Non controlla i rootkit o analizza i file di log per attività sospette, come fanno altri HIDS (come OSSEC)". da questo sito
Non vedo alcun problema con entrambi in esecuzione sullo stesso sistema, ma non vedo alcun valore nell'avere entrambi, a meno che non si trovi qualcosa che dimostri che l'OSSEC è incline al collisione dell'hash.
Per rispondere alla seconda parte della domanda, la decisione di distribuire l'OSSEC in modalità Manager / Agent o in modalità standalone dipende dal requisito. Se ci sono centinaia di host, si desidera una gestione centralizzata in cui tutto il database è memorizzato sul lato server.