So schützen Sie CentOS-Server mit einem Intrusion Prevention System (IPS) vor Angriffen

So nutzen Sie das Intrusion Prevention System (IPS), um CentOS-Server vor Angriffen zu schützen

Zitat:
Im heutigen digitalen Zeitalter ist Serversicherheit von entscheidender Bedeutung. Cyberangriffe und Einbrüche kommen immer häufiger vor, sodass die Notwendigkeit, Server davor zu schützen, immer dringlicher wird. Ein Intrusion Prevention System (IPS) ist eine wichtige Sicherheitsmaßnahme, die dabei helfen kann, bösartige Aktivitäten zu erkennen und zu blockieren und Server vor Angriffen zu schützen. In diesem Artikel erfahren Sie, wie Sie IPS auf CentOS-Servern konfigurieren und verwenden, um die Sicherheit des Servers zu verbessern.

Teil Eins: IPS installieren und konfigurieren
Schritt Eins: IPS-Software installieren
Zuerst müssen wir die entsprechende IPS-Software auswählen und installieren. Snort ist eine beliebte Open-Source-IPS-Software, die auf CentOS verfügbar ist. Wir können den folgenden Befehl verwenden, um Snort zu installieren:

sudo yum install snort

Nachdem die Installation abgeschlossen ist, können wir den folgenden Befehl verwenden, um den Snort-Dienst zu starten:

sudo systemctl start snort

Schritt 2: Snort konfigurieren
Sobald die Installation abgeschlossen ist, müssen wir sie ausführen Einige grundlegende Konfigurationen, um sicherzustellen, dass Snort ordnungsgemäß funktionieren kann. Unter CentOS befindet sich die Snort-Konfigurationsdatei unter /etc/snort/snort.conf. Wir können die Datei mit einem Texteditor öffnen und die Parameter nach Bedarf ändern. /etc/snort/snort.conf。我们可以使用文本编辑器打开该文件，并根据需要修改其中的参数。

以下是一些常见的配置参数和示例：

• ipvar HOME_NET any：指定允许访问服务器的网络范围，可以是单个IP地址、IP段或子网。
• ipvar EXTERNAL_NET any：指定可信任的外部网络范围，Snort将针对此范围进行流量监控。
• alert icmp any any -> $HOME_NET any (msg: "ICMP traffic detected"; sid: 10001)：当检测到ICMP流量时，输出一个警报，并将其与SID 10001关联。

完成配置后，我们可以使用以下命令测试配置是否有效：

sudo snort -T -c /etc/snort/snort.conf

第二部分：启用IPS规则
第一步：下载IPS规则
IPS规则是确定何时发生攻击或异常行为的基础。我们可以从Snort官方网站下载最新的规则文件。

以下是下载规则文件的示例命令：

sudo wget https://www.snort.org/downloads/community/community-rules.tar.gz
sudo tar -xvf community-rules.tar.gz -C /etc/snort/rules/

第二步：启用规则集
在Snort配置文件中，我们需要添加以下命令来加载规则集：

include $RULE_PATH /community.rules

第三步：重启Snort服务
配置文件的更改需要重新启动Snort服务才能生效。我们可以使用以下命令重启Snort服务：

sudo systemctl restart snort

第三部分：监控IPS日志
一旦Snort开始监控流量并检测到异常活动，它会生成一个日志文件。我们可以使用以下命令查看日志文件：

sudo tail -f /var/log/snort/alert

第四部分：优化IPS性能

• 启用多线程：在Snort配置文件中，可以通过设置config detection: search-method ac-split
Im Folgenden sind einige gängige Konfigurationsparameter und Beispiele aufgeführt:
• ipvar HOME_NET any: Geben Sie den Netzwerkbereich an, der auf den Server zugreifen darf. Dabei kann es sich um eine einzelne IP-Adresse oder ein IP-Segment handeln oder Subnetz.

  • ipvar EXTERNAL_NET any: Geben Sie einen vertrauenswürdigen externen Netzwerkbereich an, und Snort überwacht den Datenverkehr für diesen Bereich.

  alert icmp any any -> $HOME_NET any (msg: „ICMP-Verkehr erkannt“; sid: 10001): Wenn ICMP-Verkehr erkannt wird, wird eine Warnung ausgegeben und mit der SID 10001-Zuordnung verglichen.

  
  Nach Abschluss der Konfiguration können wir mit dem folgenden Befehl testen, ob die Konfiguration gültig ist:

  sudo wget https://www.snort.org/rules/snortrules-snapshot-XXXXX.tar.gz -O snortrules-snapshot.tar.gz
  sudo tar -xvf snortrules-snapshot.tar.gz -C /etc/snort/rules/

  🎜Teil 2: IPS-Regeln aktivieren 🎜Schritt 1: IPS-Regeln herunterladen 🎜IPS-Regeln sind die Grundlage für die Feststellung, wann ein Angriff bzw es kommt zu abnormalem Verhalten. Wir können die neuesten Regeldateien von der offiziellen Website von Snort herunterladen. 🎜🎜Das Folgende ist ein Beispielbefehl zum Herunterladen der Regeldatei: 🎜rrreee🎜Schritt 2: Aktivieren Sie den Regelsatz 🎜In der Snort-Konfigurationsdatei müssen wir den folgenden Befehl hinzufügen, um den Regelsatz zu laden: 🎜rrreee🎜Schritt 3: Starten Sie den Snort-Dienst neu. 🎜Konfigurationsänderungen an der Datei erfordern einen Neustart des Snort-Dienstes, damit sie wirksam werden. Wir können den Snort-Dienst mit dem folgenden Befehl neu starten: 🎜rrreee🎜Teil Drei: IPS-Protokolle überwachen🎜Sobald Snort mit der Überwachung des Datenverkehrs beginnt und ungewöhnliche Aktivitäten erkennt, wird eine Protokolldatei erstellt. Wir können die Protokolldatei mit dem folgenden Befehl anzeigen: 🎜rrreee🎜Teil 4: IPS-Leistung optimieren🎜
  🎜Multithreading aktivieren: In der Snort-Konfigurationsdatei können Sie es festlegen, indem Sie config detector: search- festlegen. Methode ac-split, um Multithread-Erkennungsmethoden zu ermöglichen. 🎜🎜Hardware optimieren: Erwägen Sie für leistungsstarke IPS-Bereitstellungen die Verwendung leistungsstärkerer Server und Netzwerkadapter. 🎜🎜🎜Regeln regelmäßig aktualisieren: Da weiterhin neue Bedrohungen auftauchen, ist es wichtig, die IPS-Regeln regelmäßig zu aktualisieren. Regeln können mit dem folgenden Befehl heruntergeladen und aktualisiert werden: 🎜rrreee🎜🎜🎜Fazit: 🎜Durch die Konfiguration und Verwendung eines Intrusion Prevention System (IPS) können wir die Sicherheit von CentOS-Servern erheblich verbessern und böswillige Angriffe und unbefugten Zugriff verhindern. Allerdings ist IPS nur ein Teil der Serversicherheit, und es müssen andere Sicherheitsmaßnahmen integriert werden, um ein umfassendes Verteidigungssystem aufzubauen, das die Sicherheit von Servern und Daten gewährleistet. 🎜

  Das obige ist der detaillierte Inhalt vonSo schützen Sie CentOS-Server mit einem Intrusion Prevention System (IPS) vor Angriffen. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!