ntopng - статистика по сетевым протоколам (-i - название интерфейса, -e - запуск в фоновом режиме, -w - порт для веб-интерфейса, --capture-direction - направление трафика). admin/admin
logwatch - исследование журналов и оповещение об аномальной активности (конфигурация в /usr/share/logwatch/default.conf/logwatch.conf, сервисы - /usr/share/logwatch/scripts/services)
Выполняемые файлы с suid/sgid. Поиск: find / -perm +6000 -type f -print
Инструмент lynis (lynis system audit - подробный анализ на ошибки конфигурации), OpenVAS - анализатор на уязвимости с веб-интерфейсом (использует базы CVE, NVT и др.), rkhunter