Comment protéger le serveur CentOS contre les accès non autorisés à l'aide du système de détection d'intrusion (IDS)
Introduction : En tant qu'administrateur de serveur, protéger le serveur contre les accès non autorisés est une tâche très importante. Le système de détection d’intrusion (IDS) peut nous aider à atteindre cet objectif. Cet article explique comment installer et configurer Snort, un outil IDS couramment utilisé, sur un serveur CentOS pour protéger le serveur contre tout accès non autorisé.
1. Installez Snort
Exécutez la commande suivante dans le terminal pour mettre à jour le package :
sudo yum update
L'installation de Snort nécessite certaines dépendances. Exécutez la commande suivante dans le terminal pour installer ces dépendances :
sudo yum install libpcap-devel pcre-devel libdnet-devel
Téléchargez le dernier code source de Snort et décompressez le fichier téléchargé :
wget https://www.snort.org/downloads/snort/snort-2.9.17.tar.gz tar -xzf snort-2.9.17.tar.gz
Accédez au répertoire décompressé, compilez et installez Snort :
cd snort-2.9.17 ./configure --enable-sourcefire make sudo make install
2. Configurez Snort
Exécutez la commande suivante dans le terminal pour créer le fichier de configuration Snort :
sudo cp /usr/local/src/snort-2.9.17/etc/*.conf* /usr/local/etc/ sudo cp /usr/local/src/snort-2.9.17/etc/*.map /usr/local/etc/
Utilisez un éditeur de texte pour ouvrir la configuration Snort Fichier à modifier :
sudo nano /usr/local/etc/snort.conf
Dans le fichier de configuration, vous pouvez définir l'interface réseau que vous souhaitez surveiller, l'emplacement du fichier de règles, etc.
Par exemple, vous pouvez modifier ce qui suit pour surveiller tout le trafic sur l'interface eth0 :
# 配置监控的网络接口 config interface: eth0 # 配置规则文件的位置 include $RULE_PATH/rules/*.rules
De plus, d'autres configurations de Snort peuvent être ajustées en fonction des besoins réels.
Snort utilise des fichiers de règles pour détecter et bloquer les intrusions potentielles. Vous pouvez télécharger le dernier fichier de règles sur le site officiel de Snort et le placer dans le répertoire du fichier de règles.
Par défaut, le répertoire du fichier de règles de Snort est /usr/local/etc/rules. Vous pouvez afficher et modifier l'emplacement de ce répertoire dans le fichier de configuration de Snort.
Par exemple, vous pouvez modifier ce qui suit pour spécifier le répertoire du fichier de règles comme /usr/local/etc/rules :
# 配置规则文件的位置 RULE_PATH /usr/local/etc/rules
Exécutez la commande suivante dans le terminal pour démarrer Snort :
sudo snort -A console -c /usr/local/etc/snort.conf -i eth0
This ouvrira la console Start Snort en mode et surveillera le trafic sur l'interface eth0.
3. Utilisez Snort pour détecter et bloquer les accès non autorisés
Snort enregistrera toute intrusion potentielle qu'il détecte dans le fichier journal Snort. Vous pouvez afficher et modifier l'emplacement de ce fichier journal dans le fichier de configuration Snort.
Par exemple, vous pouvez modifier ce qui suit pour spécifier l'emplacement du fichier journal comme /var/log/snort/alert.log :
# 配置日志文件的位置 output alert_syslog: LOG_AUTH LOG_ALERT output alert_fast: alert output alert_full: alert.log # 配置日志文件的位置 config detection: search-method ac-split config detection: ac-logdir /var/log/snort
Si vous constatez qu'une adresse IP donne un accès non autorisé, vous peut utiliser la fonction de blocage de Snort pour bloquer tout accès ultérieur à partir de cette adresse IP.
Exécutez la commande suivante dans le terminal pour bloquer une adresse IP :
sudo snort -A console -c /usr/local/etc/snort.conf -i eth0 --block -O
Si vous avez des besoins spécifiques, vous pouvez écrire des règles Snort personnalisées pour détecter et bloquer des intrusions spécifiques.
Par exemple, voici une règle personnalisée simple pour détecter les accès non autorisés via SSH :
# 检测通过SSH进行的未经授权访问 alert tcp $HOME_NET any -> $EXTERNAL_NET 22 (msg:"Unauthorized SSH Access"; flow:to_server,established; content:"SSH"; classtype:suspicious-login; sid:100001; rev:1;)
Ouvrez le fichier de règles à l'aide d'un éditeur de texte et ajoutez la règle personnalisée à la fin du fichier.
La base de règles de Snort est activement mise à jour. La mise à jour régulière des règles garantit que votre Snort dispose toujours des dernières capacités de détection d'intrusion.
Vous pouvez télécharger le dernier fichier de règles depuis le site officiel de Snort et le placer dans le répertoire du fichier de règles.
5. Conclusion
En utilisant un système de détection d'intrusion (IDS) tel que Snort, nous pouvons protéger les serveurs CentOS contre les accès non autorisés. Cet article prend l'installation et la configuration de Snort comme exemple pour présenter en détail comment utiliser IDS pour surveiller et prévenir les intrusions potentielles. En suivant les étapes ci-dessus et en le configurant de manière appropriée en fonction des besoins réels, nous pouvons améliorer la sécurité du serveur et réduire les risques potentiels.
Remarque : cet article ne présente que brièvement comment utiliser Snort comme système de détection d'intrusion, plutôt que d'expliquer ses principes et toutes les options de configuration en détail. Pour une compréhension plus approfondie et une exploration plus approfondie, il est recommandé de se référer à la documentation officielle de Snort ou à d'autres documents pertinents.
J'espère que cet article vous sera utile et je souhaite que votre serveur soit sûr et sans souci !
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!
![[Web front-end] Démarrage rapide de Node.js](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
