So schützen Sie CentOS-Server mit einem Intrusion Detection System (IDS) vor unbefugtem Zugriff

So schützen Sie den CentOS-Server vor unbefugtem Zugriff mit dem Intrusion Detection System (IDS)

Einführung: Als Serveradministrator ist der Schutz des Servers vor unbefugtem Zugriff eine sehr wichtige Aufgabe. Das Intrusion Detection System (IDS) kann uns dabei helfen, dieses Ziel zu erreichen. In diesem Artikel erfahren Sie, wie Sie Snort, ein häufig verwendetes IDS-Tool, auf einem CentOS-Server installieren und konfigurieren, um den Server vor unbefugtem Zugriff zu schützen.

1. Installieren Sie Snort

1. Aktualisieren Sie das Serverpaket

Führen Sie den folgenden Befehl im Terminal aus, um das Paket zu aktualisieren:

sudo yum update

2. Abhängigkeiten installieren

Die Installation von Snort erfordert einige Abhängigkeiten. Führen Sie den folgenden Befehl im Terminal aus, um diese Abhängigkeiten zu installieren:

sudo yum install libpcap-devel pcre-devel libdnet-devel

3. Snort herunterladen und kompilieren

Laden Sie den neuesten Snort-Quellcode herunter und entpacken Sie die heruntergeladene Datei:

wget https://www.snort.org/downloads/snort/snort-2.9.17.tar.gz
tar -xzf snort-2.9.17.tar.gz

Gehen Sie in das entpackte Verzeichnis und kompilieren und installieren Sie Snort :

cd snort-2.9.17
./configure --enable-sourcefire
make
sudo make install

2. Snort konfigurieren

1. Snort-Konfigurationsdatei erstellen

Führen Sie den folgenden Befehl im Terminal aus, um eine Snort-Konfigurationsdatei zu erstellen:

sudo cp /usr/local/src/snort-2.9.17/etc/*.conf* /usr/local/etc/
sudo cp /usr/local/src/snort-2.9.17/etc/*.map /usr/local/etc/

2. Snort-Konfigurationsdatei bearbeiten

Verwenden Sie einen Texteditor, um die Snort-Konfiguration zu öffnen Datei zum Bearbeiten:

sudo nano /usr/local/etc/snort.conf

In der Konfigurationsdatei können Sie die Netzwerkschnittstelle, die Sie überwachen möchten, den Speicherort der Regeldatei usw. festlegen.

Zum Beispiel können Sie Folgendes bearbeiten, um den gesamten Datenverkehr auf der eth0-Schnittstelle zu überwachen:

# 配置监控的网络接口
config interface: eth0

# 配置规则文件的位置
include $RULE_PATH/rules/*.rules

Darüber hinaus können andere Konfigurationen von Snort an die tatsächlichen Bedürfnisse angepasst werden.

3. Konfigurationsregeldateien

Snort verwendet Regeldateien, um potenzielle Eindringlinge zu erkennen und zu blockieren. Sie können die neueste Regeldatei von der offiziellen Snort-Website herunterladen und im Regeldateiverzeichnis ablegen.

Standardmäßig ist das Regeldateiverzeichnis von Snort /usr/local/etc/rules. Sie können den Speicherort dieses Verzeichnisses in der Snort-Konfigurationsdatei anzeigen und ändern.

Zum Beispiel können Sie Folgendes bearbeiten, um das Regeldateiverzeichnis als /usr/local/etc/rules anzugeben:

# 配置规则文件的位置
RULE_PATH /usr/local/etc/rules

4. Snort starten

Führen Sie den folgenden Befehl im Terminal aus, um Snort zu starten:

sudo snort -A console -c /usr/local/etc/snort.conf -i eth0

This öffnet die Konsole. Starten Sie Snort im Modus und überwachen Sie den Verkehr auf der eth0-Schnittstelle.

3. Verwenden Sie Snort, um unbefugten Zugriff zu erkennen und zu blockieren.

1. Überwachungsprotokolle: Snort zeichnet jeden potenziellen Einbruch auf, den es in der Snort-Protokolldatei erkennt. Sie können den Speicherort dieser Protokolldatei in der Snort-Konfigurationsdatei anzeigen und ändern.

Zum Beispiel können Sie Folgendes bearbeiten, um den Speicherort der Protokolldatei als /var/log/snort/alert.log anzugeben:

# 配置日志文件的位置
output alert_syslog: LOG_AUTH LOG_ALERT
output alert_fast: alert
output alert_full: alert.log

# 配置日志文件的位置
config detection: search-method ac-split
config detection: ac-logdir /var/log/snort

IP blockieren

2. Wenn Sie feststellen, dass eine IP-Adresse unbefugten Zugriff gewährt, können Sie Sie können die Blockierungsfunktion von Snort verwenden, um den weiteren Zugriff von dieser IP-Adresse aus zu blockieren.

Führen Sie den folgenden Befehl im Terminal aus, um eine IP-Adresse zu blockieren:

sudo snort -A console -c /usr/local/etc/snort.conf -i eth0 --block -O

Benutzerdefinierte Regeln schreiben

3. Wenn Sie spezielle Anforderungen haben, können Sie benutzerdefinierte Snort-Regeln schreiben, um bestimmte Eindringlinge zu erkennen und zu blockieren.

Hier ist zum Beispiel eine einfache benutzerdefinierte Regel zum Erkennen unbefugten Zugriffs über SSH:

# 检测通过SSH进行的未经授权访问
alert tcp $HOME_NET any -> $EXTERNAL_NET 22 (msg:"Unauthorized SSH Access"; flow:to_server,established; content:"SSH"; classtype:suspicious-login; sid:100001; rev:1;)

Öffnen Sie die Regeldatei mit einem Texteditor und fügen Sie die benutzerdefinierte Regel am Ende der Datei hinzu.

Regelaktualisierungen

4. Snorts Regelbasis wird aktiv aktualisiert. Durch die regelmäßige Aktualisierung der Regeln wird sichergestellt, dass Ihr Snort immer über die neuesten Einbrucherkennungsfunktionen verfügt.

Sie können die neueste Regeldatei von der offiziellen Snort-Website herunterladen und im Regeldateiverzeichnis ablegen.

5. Fazit

Durch den Einsatz eines Intrusion Detection Systems (IDS) wie Snort können wir CentOS-Server vor unbefugtem Zugriff schützen. In diesem Artikel wird die Installation und Konfiguration von Snort als Beispiel verwendet, um detailliert vorzustellen, wie IDS zur Überwachung und Verhinderung potenzieller Eindringlinge verwendet wird. Indem wir die oben genannten Schritte befolgen und ihn entsprechend den tatsächlichen Anforderungen entsprechend konfigurieren, können wir die Sicherheit des Servers erhöhen und potenzielle Risiken reduzieren.

Hinweis: In diesem Artikel wird nur kurz die Verwendung von Snort als Einbrucherkennungssystem vorgestellt, anstatt dessen Prinzipien und alle Konfigurationsoptionen im Detail zu erläutern. Für ein tieferes Verständnis und weitere Untersuchungen wird empfohlen, die offizielle Dokumentation von Snort oder andere relevante Materialien zu Rate zu ziehen.

Ich hoffe, dass dieser Artikel für Sie hilfreich ist, und ich wünsche Ihnen, dass Ihr Server sicher und sorgenfrei ist!

Das obige ist der detaillierte Inhalt vonSo schützen Sie CentOS-Server mit einem Intrusion Detection System (IDS) vor unbefugtem Zugriff. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!