So schützen Sie CentOS-Server mithilfe von Network Intrusion Detection Systems (NIDS)

So schützen Sie CentOS-Server mit dem Network Intrusion Detection System (NIDS)

Einführung:
In modernen Netzwerkumgebungen ist die Serversicherheit von entscheidender Bedeutung. Angreifer nutzen verschiedene Mittel, um in unsere Server einzudringen und sensible Daten zu stehlen oder Systeme zu kompromittieren. Um die Serversicherheit zu gewährleisten, können wir ein Network Intrusion Detection System (NIDS) zur Echtzeitüberwachung und Erkennung potenzieller Angriffe einsetzen.

In diesem Artikel erfahren Sie, wie Sie NIDS auf dem CentOS-Server konfigurieren und verwenden, um den Server zu schützen.

Schritt 1: SNORT installieren und konfigurieren
SNORT ist ein Open-Source-Intrusion-Detection-System, mit dem wir den Netzwerkverkehr überwachen und mögliche Angriffe erkennen können. Zuerst müssen wir SNORT installieren.

1. Öffnen Sie das Terminal und melden Sie sich mit Root-Rechten beim Server an.
2. Verwenden Sie den folgenden Befehl, um SNORT zu installieren:

yum install epel-release
yum install snort

3. Nachdem die Installation abgeschlossen ist, müssen wir SNORT konfigurieren. Zuerst müssen wir eine neue Konfigurationsdatei erstellen. Erstellen und öffnen Sie eine neue Konfigurationsdatei mit dem folgenden Befehl:

cp /etc/snort/snort.conf /etc/snort/snort.conf.backup
vim /etc/snort/snort.conf

4. In der Konfigurationsdatei kann SNORT nach Bedarf angepasst werden. Stellen Sie außerdem sicher, dass Sie die folgenden Zeilen auskommentieren, um die entsprechenden Funktionen zu aktivieren:

include $RULE_PATH/local.rules
include $RULE_PATH/snort.rules
include $RULE_PATH/community.rules

5. Speichern und schließen Sie die Konfigurationsdatei.

Schritt 2: NIDS-Regeln konfigurieren
In SNORT werden Regeln verwendet, um die Arten von Angriffen zu definieren, die wir erkennen möchten. Wir können einen vorhandenen Regelsatz verwenden oder benutzerdefinierte Regeln erstellen.

1. Öffnen Sie das Terminal und rufen Sie das SNORT-Regelverzeichnis mit dem folgenden Befehl auf:

cd /etc/snort/rules/

2. Verwenden Sie den folgenden Befehl, um den neuesten Regelsatz herunterzuladen:

wget https://www.snort.org/downloads/community/community-rules.tar.gz
tar -xvf community-rules.tar.gz

3. Nachdem der Download und die Extraktion abgeschlossen sind, können wir die Regel finden Dateien im Regelverzeichnis. Diese Regeldateien haben die Erweiterung .rules.
4. Wenn wir benutzerdefinierte Regeln hinzufügen möchten, können wir eine neue Regeldatei erstellen und darin Regeln hinzufügen. Beispielsweise können wir mit dem folgenden Befehl eine Regeldatei namens „custom.rules“ erstellen:

vim custom.rules

5. In der Regeldatei können wir benutzerdefinierte Regeln hinzufügen. Hier ist ein Beispiel:

alert tcp any any -> any any (msg:"Possible SSH brute force attack"; 
                         flow:from_client,established; content:"SSH-"; 
                         threshold:type limit, track by_src, count 5, 
                         seconds 60; sid:10001; rev:1;)

6. Speichern und schließen Sie die Regeldatei.

Schritt 3: SNORT starten und Verkehr überwachen
Nachdem wir SNORT und Regeln konfiguriert haben, können wir SNORT starten und mit der Überwachung des Verkehrs beginnen.

1. Öffnen Sie ein Terminal und verwenden Sie den folgenden Befehl, um SNORT zu starten:

snort -A console -c /etc/snort/snort.conf -i eth0

Unter diesen gibt -A console an, dass die Warnmeldung an die Konsole ausgegeben werden soll, -c /etc/snort/snort.conf gibt an, SNORT zu verwenden In der Konfigurationsdatei, die wir zuvor konfiguriert haben, gibt -i eth0 die zu überwachende Netzwerkschnittstelle an.

2. SNORT beginnt mit der Überwachung des Datenverkehrs und erkennt potenzielle Angriffe. Bei verdächtigen Aktivitäten wird eine Warnmeldung generiert und an die Konsole ausgegeben.

Schritt 4: SNORT-Alarmbenachrichtigung einrichten
Um die Alarmmeldung rechtzeitig zu erhalten, können wir die E-Mail-Benachrichtigungsfunktion nutzen, um die Alarmmeldung an unsere E-Mail-Adresse zu senden.

1. Öffnen Sie das Terminal und verwenden Sie den folgenden Befehl, um das E-Mail-Benachrichtigungs-Plugin zu installieren:

yum install barnyard2
yum install sendmail

2. Nachdem die Installation abgeschlossen ist, müssen wir eine neue Konfigurationsdatei erstellen. Kopieren Sie die Beispielkonfigurationsdatei und öffnen Sie eine neue Konfigurationsdatei mit dem folgenden Befehl:

cp /etc/barnyard2/barnyard2.conf /etc/barnyard2/barnyard2.conf.backup
vim /etc/barnyard2/barnyard2.conf

3. Suchen Sie in der Konfigurationsdatei die folgenden Zeilen und kommentieren Sie sie aus:

output alert_syslog_full
output database: log, mysql, user=snort password=snort dbname=snort host=localhost
output alert_fast: snort.alert

config reference_file: reference.config
config classification_file:classification.config
config gen_file: gen-msg.map
config sid_file: sid-msg.map

4. Ändern Sie die folgenden Zeilen entsprechend unserem SMTP-Server und E-Mail-Make entsprechende Änderungen an den Einstellungen:

output alert_full: alert.full
output log_unified2: filename unified2.log, limit 128
output smtp: email@example.com

5. Speichern und schließen Sie die Konfigurationsdatei.
6. Starten Sie barnyard2 mit dem folgenden Befehl:

barnyard2 -c /etc/barnyard2/barnyard2.conf -d /var/log/snort/

7. Wenn SNORT später verdächtige Aktivitäten erkennt, generiert es eine Warnmeldung und sendet diese an unsere angegebene E-Mail-Adresse.

Fazit:
Es ist sehr wichtig, unsere CentOS-Server durch den Einsatz eines Network Intrusion Detection System (NIDS) zu schützen. Mit SNORT können wir den Netzwerkverkehr überwachen und potenzielle Angriffe erkennen. Indem wir die Schritte in diesem Artikel befolgen, können wir SNORT konfigurieren und Regeln zur Überwachung und zum Schutz unserer Server einrichten. Darüber hinaus können wir auch die E-Mail-Benachrichtigungsfunktion nutzen, um rechtzeitig Warnmeldungen zu erhalten.

Das obige ist der detaillierte Inhalt vonSo schützen Sie CentOS-Server mithilfe von Network Intrusion Detection Systems (NIDS). Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!