So schützen Sie den CentOS-Server vor unbefugtem Zugriff mit dem Intrusion Detection System (IDS)
Einführung: Als Serveradministrator ist der Schutz des Servers vor unbefugtem Zugriff eine sehr wichtige Aufgabe. Das Intrusion Detection System (IDS) kann uns dabei helfen, dieses Ziel zu erreichen. In diesem Artikel erfahren Sie, wie Sie Snort, ein häufig verwendetes IDS-Tool, auf einem CentOS-Server installieren und konfigurieren, um den Server vor unbefugtem Zugriff zu schützen.
1. Installieren Sie Snort
Führen Sie den folgenden Befehl im Terminal aus, um das Paket zu aktualisieren:
sudo yum update
Die Installation von Snort erfordert einige Abhängigkeiten. Führen Sie den folgenden Befehl im Terminal aus, um diese Abhängigkeiten zu installieren:
sudo yum install libpcap-devel pcre-devel libdnet-devel
Laden Sie den neuesten Snort-Quellcode herunter und entpacken Sie die heruntergeladene Datei:
wget https://www.snort.org/downloads/snort/snort-2.9.17.tar.gz tar -xzf snort-2.9.17.tar.gz
Gehen Sie in das entpackte Verzeichnis und kompilieren und installieren Sie Snort :
cd snort-2.9.17 ./configure --enable-sourcefire make sudo make install
2. Snort konfigurieren
Führen Sie den folgenden Befehl im Terminal aus, um eine Snort-Konfigurationsdatei zu erstellen:
sudo cp /usr/local/src/snort-2.9.17/etc/*.conf* /usr/local/etc/ sudo cp /usr/local/src/snort-2.9.17/etc/*.map /usr/local/etc/
Verwenden Sie einen Texteditor, um die Snort-Konfiguration zu öffnen Datei zum Bearbeiten:
sudo nano /usr/local/etc/snort.conf
In der Konfigurationsdatei können Sie die Netzwerkschnittstelle, die Sie überwachen möchten, den Speicherort der Regeldatei usw. festlegen.
Zum Beispiel können Sie Folgendes bearbeiten, um den gesamten Datenverkehr auf der eth0-Schnittstelle zu überwachen:
# 配置监控的网络接口 config interface: eth0 # 配置规则文件的位置 include $RULE_PATH/rules/*.rules
Darüber hinaus können andere Konfigurationen von Snort an die tatsächlichen Bedürfnisse angepasst werden.
Snort verwendet Regeldateien, um potenzielle Eindringlinge zu erkennen und zu blockieren. Sie können die neueste Regeldatei von der offiziellen Snort-Website herunterladen und im Regeldateiverzeichnis ablegen.
Standardmäßig ist das Regeldateiverzeichnis von Snort /usr/local/etc/rules. Sie können den Speicherort dieses Verzeichnisses in der Snort-Konfigurationsdatei anzeigen und ändern.
Zum Beispiel können Sie Folgendes bearbeiten, um das Regeldateiverzeichnis als /usr/local/etc/rules anzugeben:
# 配置规则文件的位置 RULE_PATH /usr/local/etc/rules
Führen Sie den folgenden Befehl im Terminal aus, um Snort zu starten:
sudo snort -A console -c /usr/local/etc/snort.conf -i eth0
This öffnet die Konsole. Starten Sie Snort im Modus und überwachen Sie den Verkehr auf der eth0-Schnittstelle.
3. Verwenden Sie Snort, um unbefugten Zugriff zu erkennen und zu blockieren.
# 配置日志文件的位置 output alert_syslog: LOG_AUTH LOG_ALERT output alert_fast: alert output alert_full: alert.log # 配置日志文件的位置 config detection: search-method ac-split config detection: ac-logdir /var/log/snort
IP blockieren
sudo snort -A console -c /usr/local/etc/snort.conf -i eth0 --block -O
Benutzerdefinierte Regeln schreiben
# 检测通过SSH进行的未经授权访问 alert tcp $HOME_NET any -> $EXTERNAL_NET 22 (msg:"Unauthorized SSH Access"; flow:to_server,established; content:"SSH"; classtype:suspicious-login; sid:100001; rev:1;)
Regelaktualisierungen
Das obige ist der detaillierte Inhalt vonSo schützen Sie CentOS-Server mit einem Intrusion Detection System (IDS) vor unbefugtem Zugriff. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!