Nowa wersja nmap – dostępna po przeszło pół roku

Doradzilibyscie cos jeszcze odnosnie IDS, czyli Intrusion Detection System ?
Probuje uszczelnic zapore i teoretycznie skrypt w Cronie raz na godzine otworzy jakis tam port i po jakims czasie zamyka jesli jest taka potrzeba i dla tylko dla wybranego IP ktore poda skrypt.
Ale zaluzmy ze wszystko jest dziurawe i jedyne wyjscie to wykrycie intruza jak tylko sie pojawi i wylaczenie komputera.
A gdy zauwazymy wylaczony komputer to wyjecie kabla internetowego , potem wlaczenie komputera i zbadanie przyczyny.
Dlatego potrzebuje jakiegos systemu wykrywania wlaman.
1. Pierw myslalem nad Psad.
I teraz jesli dobrze zrozumialem to skrypt uruchamiany w Cronie ktory otwiera porty musialby edytowac pliki konfiguracyjne Psad aby ten wiedzial ktore IP nie blokowac ?
Czy nie trzeba tego robic ?
Wolalbym stworzyc regolke iptables , ktora by wyslala maila jesli ktos by skorzystal z otwartego portu lub probowal skanowac, ale raz ze nie potrafie, a dwa nie wiem czy to najlepszy pomysl.
2. AIDA – tworzy baze danych o plikach i folderach ujetych w pliku konfiguracyjnym.
Ale mam watpliwosci co do skutecznosci metody, jesli cos lub ktos potrafiloby usunac wszelkie slady po sobie.
3. Myslalem takze nad dodaniem alertu na maila dopisujac na koncu pliku /root/.bashrc ale to chyba nie zadziala jesli ktos lub cos korzystaloby z wlasnego kodu ktory juz ma uprawnienia root lub moze gdyby korzystalo z innej powloki.
4. Myslalem takze nad skryptem inotifywait zeby sledzil zmiany w pliku /root/.bash.history.
Ale to moze nie pomoc ponownie jesli cos korzysta z wlasnego programu.
Co jeszcze mozemy zrobic aby wykryc intruza,
jesli ten sie pojawi ?