TheProtector – script de surveillance de sécurité basé sur Bash pour Linux

• Outil de surveillance de sécurité basé sur l’hôte, exclusivement pour Linux, créé par un développeur frustré par le coût élevé des outils de sécurité d’entreprise (environ 50 000 $ par an) et par leur conception centrée sur Windows
• Surveillance en temps réel des malwares, rootkits et tentatives de dissimulation grâce à une détection multicouche couvrant à la fois l’espace utilisateur et l’espace noyau
• Fonctionne sous la forme d’un unique script Bash, avec très peu de dépendances, ce qui rend l’installation simple et permet à la plupart des administrateurs Linux de le lire et de le modifier eux-mêmes
• Conçu pour pouvoir être utilisé aussi dans des environnements à faible coût (le développeur l’a créé sur un ordinateur portable à 500 $)

Fonctionnalités principales

• Surveillance en temps réel : surveillance des processus, du réseau et des fichiers
  • Suivi des événements noyau basé sur eBPF : traçage en temps réel de l’exécution des processus et analyse des appels système
  • Détection de malwares basée sur des règles YARA (web shells, reverse shells, mineurs de cryptomonnaie)
• Réponse aux menaces
  • Détection et blocage des comportements anormaux (blocage d’IP, arrêt de processus, mise en quarantaine de fichiers)
  • Détection des techniques de dissimulation des rootkits et des menaces avancées
• Extensions de sécurité
  • Détection d’attaques via un honeypot réseau (écoute sur des ports destinés à attirer les attaquants)
  • Mise à jour automatique de la threat intelligence (y compris consultation de la réputation des IP)
  • Journalisation forensique et vérification d’intégrité
• Facilité d’exploitation
  • Basé sur un unique script Bash (pas d’installation complexe nécessaire)
  • Fournit un tableau de bord Web et une API REST
  • Optimisé pour les environnements conteneurisés tels que Docker

Configuration système requise

• Linux Kernel 4.9+ (eBPF requis)
• Bash 4.0+