Maison  >  Article  >  Opération et maintenance  >  Comment protéger les serveurs CentOS contre les accès non autorisés à l'aide d'un système de détection d'intrusion (IDS)

Comment protéger les serveurs CentOS contre les accès non autorisés à l'aide d'un système de détection d'intrusion (IDS)

WBOY
WBOYoriginal
2023-07-05 11:37:091029parcourir

Comment protéger le serveur CentOS contre les accès non autorisés à l'aide du système de détection d'intrusion (IDS)

Introduction : En tant qu'administrateur de serveur, protéger le serveur contre les accès non autorisés est une tâche très importante. Le système de détection d’intrusion (IDS) peut nous aider à atteindre cet objectif. Cet article explique comment installer et configurer Snort, un outil IDS couramment utilisé, sur un serveur CentOS pour protéger le serveur contre tout accès non autorisé.

1. Installez Snort

  1. Mettez à jour le package du serveur

Exécutez la commande suivante dans le terminal pour mettre à jour le package :

sudo yum update
  1. Installer les dépendances

L'installation de Snort nécessite certaines dépendances. Exécutez la commande suivante dans le terminal pour installer ces dépendances :

sudo yum install libpcap-devel pcre-devel libdnet-devel
  1. Téléchargez et compilez Snort

Téléchargez le dernier code source de Snort et décompressez le fichier téléchargé :

wget https://www.snort.org/downloads/snort/snort-2.9.17.tar.gz
tar -xzf snort-2.9.17.tar.gz

Accédez au répertoire décompressé, compilez et installez Snort :

cd snort-2.9.17
./configure --enable-sourcefire
make
sudo make install

2. Configurez Snort

  1. Créez le fichier de configuration Snort

Exécutez la commande suivante dans le terminal pour créer le fichier de configuration Snort :

sudo cp /usr/local/src/snort-2.9.17/etc/*.conf* /usr/local/etc/
sudo cp /usr/local/src/snort-2.9.17/etc/*.map /usr/local/etc/
  1. Modifiez le fichier de configuration Snort

Utilisez un éditeur de texte pour ouvrir la configuration Snort Fichier à modifier :

sudo nano /usr/local/etc/snort.conf

Dans le fichier de configuration, vous pouvez définir l'interface réseau que vous souhaitez surveiller, l'emplacement du fichier de règles, etc.

Par exemple, vous pouvez modifier ce qui suit pour surveiller tout le trafic sur l'interface eth0 :

# 配置监控的网络接口
config interface: eth0

# 配置规则文件的位置
include $RULE_PATH/rules/*.rules

De plus, d'autres configurations de Snort peuvent être ajustées en fonction des besoins réels.

  1. Fichiers de règles de configuration

Snort utilise des fichiers de règles pour détecter et bloquer les intrusions potentielles. Vous pouvez télécharger le dernier fichier de règles sur le site officiel de Snort et le placer dans le répertoire du fichier de règles.

Par défaut, le répertoire du fichier de règles de Snort est /usr/local/etc/rules. Vous pouvez afficher et modifier l'emplacement de ce répertoire dans le fichier de configuration de Snort.

Par exemple, vous pouvez modifier ce qui suit pour spécifier le répertoire du fichier de règles comme /usr/local/etc/rules :

# 配置规则文件的位置
RULE_PATH /usr/local/etc/rules
  1. Démarrer Snort

Exécutez la commande suivante dans le terminal pour démarrer Snort :

sudo snort -A console -c /usr/local/etc/snort.conf -i eth0

This ouvrira la console Start Snort en mode et surveillera le trafic sur l'interface eth0.

3. Utilisez Snort pour détecter et bloquer les accès non autorisés

  1. Journaux de surveillance

Snort enregistrera toute intrusion potentielle qu'il détecte dans le fichier journal Snort. Vous pouvez afficher et modifier l'emplacement de ce fichier journal dans le fichier de configuration Snort.

Par exemple, vous pouvez modifier ce qui suit pour spécifier l'emplacement du fichier journal comme /var/log/snort/alert.log :

# 配置日志文件的位置
output alert_syslog: LOG_AUTH LOG_ALERT
output alert_fast: alert
output alert_full: alert.log

# 配置日志文件的位置
config detection: search-method ac-split
config detection: ac-logdir /var/log/snort
  1. Bloquer l'IP

Si vous constatez qu'une adresse IP donne un accès non autorisé, vous peut utiliser la fonction de blocage de Snort pour bloquer tout accès ultérieur à partir de cette adresse IP.

Exécutez la commande suivante dans le terminal pour bloquer une adresse IP :

sudo snort -A console -c /usr/local/etc/snort.conf -i eth0 --block -O
  1. Écrivez des règles personnalisées

Si vous avez des besoins spécifiques, vous pouvez écrire des règles Snort personnalisées pour détecter et bloquer des intrusions spécifiques.

Par exemple, voici une règle personnalisée simple pour détecter les accès non autorisés via SSH :

# 检测通过SSH进行的未经授权访问
alert tcp $HOME_NET any -> $EXTERNAL_NET 22 (msg:"Unauthorized SSH Access"; flow:to_server,established; content:"SSH"; classtype:suspicious-login; sid:100001; rev:1;)

Ouvrez le fichier de règles à l'aide d'un éditeur de texte et ajoutez la règle personnalisée à la fin du fichier.

  1. Mises à jour des règles

La base de règles de Snort est activement mise à jour. La mise à jour régulière des règles garantit que votre Snort dispose toujours des dernières capacités de détection d'intrusion.

Vous pouvez télécharger le dernier fichier de règles depuis le site officiel de Snort et le placer dans le répertoire du fichier de règles.

5. Conclusion

En utilisant un système de détection d'intrusion (IDS) tel que Snort, nous pouvons protéger les serveurs CentOS contre les accès non autorisés. Cet article prend l'installation et la configuration de Snort comme exemple pour présenter en détail comment utiliser IDS pour surveiller et prévenir les intrusions potentielles. En suivant les étapes ci-dessus et en le configurant de manière appropriée en fonction des besoins réels, nous pouvons améliorer la sécurité du serveur et réduire les risques potentiels.

Remarque : cet article ne présente que brièvement comment utiliser Snort comme système de détection d'intrusion, plutôt que d'expliquer ses principes et toutes les options de configuration en détail. Pour une compréhension plus approfondie et une exploration plus approfondie, il est recommandé de se référer à la documentation officielle de Snort ou à d'autres documents pertinents.

J'espère que cet article vous sera utile et je souhaite que votre serveur soit sûr et sans souci !

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!

Déclaration:
Le contenu de cet article est volontairement contribué par les internautes et les droits d'auteur appartiennent à l'auteur original. Ce site n'assume aucune responsabilité légale correspondante. Si vous trouvez un contenu suspecté de plagiat ou de contrefaçon, veuillez contacter admin@php.cn