침입 탐지 시스템(IDS)을 사용하여 무단 액세스로부터 CentOS 서버를 보호하는 방법

침입 감지 시스템(IDS)을 사용하여 CentOS 서버를 무단 액세스로부터 보호하는 방법

소개: 서버 관리자로서 무단 액세스로부터 서버를 보호하는 것은 매우 중요한 작업입니다. 침입 탐지 시스템(IDS)은 이러한 목표를 달성하는 데 도움이 될 수 있습니다. 이 기사에서는 CentOS 서버에 일반적으로 사용되는 IDS 도구인 Snort를 설치하고 구성하여 무단 액세스로부터 서버를 보호하는 방법을 소개합니다.

1. Snort 설치

1. 서버 패키지 업데이트

패키지를 업데이트하려면 터미널에서 다음 명령을 실행하세요.

sudo yum update

2. 종속성 설치

Snort를 설치하려면 몇 가지 종속성이 필요합니다. 이러한 종속성을 설치하려면 터미널에서 다음 명령을 실행하십시오.

sudo yum install libpcap-devel pcre-devel libdnet-devel

3. Snort 다운로드 및 컴파일

최신 Snort 소스 코드를 다운로드하고 다운로드한 파일의 압축을 풉니다.

wget https://www.snort.org/downloads/snort/snort-2.9.17.tar.gz
tar -xzf snort-2.9.17.tar.gz

압축을 푼 디렉터리로 이동하여 Snort를 컴파일 및 설치합니다. :

cd snort-2.9.17
./configure --enable-sourcefire
make
sudo make install

2. Snort 구성

1. Snort 구성 파일 만들기

터미널에서 다음 명령을 실행하여 Snort 구성 파일을 만듭니다.

sudo cp /usr/local/src/snort-2.9.17/etc/*.conf* /usr/local/etc/
sudo cp /usr/local/src/snort-2.9.17/etc/*.map /usr/local/etc/

2. Snort 구성 파일 편집

텍스트 편집기를 사용하여 Snort 구성 열기 편집용 파일:

sudo nano /usr/local/etc/snort.conf

구성 파일에서 모니터링하려는 네트워크 인터페이스, 규칙 파일의 위치 등을 설정할 수 있습니다.

예를 들어 다음을 편집하여 eth0 인터페이스의 모든 트래픽을 모니터링할 수 있습니다.

# 配置监控的网络接口
config interface: eth0

# 配置规则文件的位置
include $RULE_PATH/rules/*.rules

또한 실제 필요에 따라 Snort의 다른 구성을 조정할 수 있습니다.

3. 구성 규칙 파일

Snort는 규칙 파일을 사용하여 잠재적인 침입을 탐지하고 차단합니다. Snort 공식 웹사이트에서 최신 규칙 파일을 다운로드하여 규칙 파일 디렉터리에 배치할 수 있습니다.

기본적으로 Snort의 규칙 파일 디렉터리는 /usr/local/etc/rules입니다. Snort 구성 파일에서 이 디렉터리의 위치를 ​​보고 수정할 수 있습니다.

예를 들어 다음을 편집하여 규칙 파일 디렉터리를 /usr/local/etc/rules로 지정할 수 있습니다.

# 配置规则文件的位置
RULE_PATH /usr/local/etc/rules

4. Start Snort

Snort를 시작하려면 터미널에서 다음 명령을 실행하세요.

sudo snort -A console -c /usr/local/etc/snort.conf -i eth0

This 모드에서 콘솔 시작 Snort를 열고 eth0 인터페이스의 트래픽을 모니터링합니다.

3. Snort를 사용하여 무단 액세스 감지 및 차단

1. 로그 모니터링

Snort는 감지한 모든 잠재적 침입을 Snort 로그 파일에 기록합니다. Snort 구성 파일에서 이 로그 파일의 위치를 ​​보고 수정할 수 있습니다.

예를 들어 다음을 편집하여 로그 파일 위치를 /var/log/snort/alert.log로 지정할 수 있습니다.

# 配置日志文件的位置
output alert_syslog: LOG_AUTH LOG_ALERT
output alert_fast: alert
output alert_full: alert.log

# 配置日志文件的位置
config detection: search-method ac-split
config detection: ac-logdir /var/log/snort

2. Block IP

IP 주소가 무단 액세스를 제공하는 것을 발견하면 Snort의 차단 기능을 사용하여 해당 IP 주소로부터의 추가 액세스를 차단할 수 있습니다.

IP 주소를 차단하려면 터미널에서 다음 명령을 실행하세요.

sudo snort -A console -c /usr/local/etc/snort.conf -i eth0 --block -O

3. 맞춤 규칙 작성

특정 요구사항이 있는 경우 맞춤 Snort 규칙을 작성하여 특정 침입을 감지하고 차단할 수 있습니다.

예를 들어 SSH를 통한 무단 액세스를 탐지하기 위한 간단한 사용자 정의 규칙은 다음과 같습니다.

# 检测通过SSH进行的未经授权访问
alert tcp $HOME_NET any -> $EXTERNAL_NET 22 (msg:"Unauthorized SSH Access"; flow:to_server,established; content:"SSH"; classtype:suspicious-login; sid:100001; rev:1;)

텍스트 편집기를 사용하여 규칙 파일을 열고 파일 끝에 사용자 정의 규칙을 추가합니다.

4. 규칙 업데이트

Snort의 규칙 기반이 활발하게 업데이트됩니다. 규칙을 정기적으로 업데이트하면 Snort가 항상 최신 침입 탐지 기능을 갖게 됩니다.

Snort 공식 웹사이트에서 최신 규칙 파일을 다운로드하여 규칙 파일 디렉터리에 넣을 수 있습니다.

5. 결론

Snort와 같은 침입 탐지 시스템(IDS)을 사용하면 CentOS 서버를 무단 액세스로부터 보호할 수 있습니다. 이 기사에서는 Snort의 설치 및 구성을 예로 들어 IDS를 사용하여 잠재적인 침입을 모니터링하고 방지하는 방법을 자세히 소개합니다. 위의 단계를 따르고 실제 필요에 따라 적절하게 구성함으로써 서버의 보안을 강화하고 잠재적인 위험을 줄일 수 있습니다.

참고: 이 기사에서는 Snort의 원리와 모든 구성 옵션을 자세히 설명하기보다는 Snort를 침입 탐지 시스템으로 사용하는 방법을 간략하게 소개합니다. 더 깊은 이해와 추가 탐구를 위해서는 Snort 공식 문서나 기타 관련 자료를 참조하는 것이 좋습니다.

이 글이 여러분에게 도움이 되기를 바라며, 여러분의 서버가 안전하고 걱정이 없기를 바랍니다!

위 내용은 침입 탐지 시스템(IDS)을 사용하여 무단 액세스로부터 CentOS 서버를 보호하는 방법의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!