Maison >Opération et maintenance >exploitation et maintenance Linux >Comment protéger les serveurs CentOS contre les attaques à l'aide d'un système de prévention d'intrusion (IPS)

Comment protéger les serveurs CentOS contre les attaques à l'aide d'un système de prévention d'intrusion (IPS)

王林
王林original
2023-07-08 11:41:421594parcourir

Comment utiliser le système de prévention des intrusions (IPS) pour protéger les serveurs CentOS contre les attaques

Citation :
À l'ère numérique d'aujourd'hui, la sécurité des serveurs est cruciale. Les cyberattaques et les intrusions sont de plus en plus fréquentes, il devient donc de plus en plus urgent d'en protéger les serveurs. Un système de prévention des intrusions (IPS) est une mesure de sécurité importante qui peut aider à détecter et à bloquer les activités malveillantes et à protéger les serveurs contre les attaques. Dans cet article, nous apprendrons comment configurer et utiliser IPS sur les serveurs CentOS pour améliorer la sécurité du serveur.

Première partie : installer et configurer IPS
Première étape : installer le logiciel IPS
Tout d'abord, nous devons sélectionner et installer le logiciel IPS approprié. Snort est un logiciel IPS open source populaire disponible sur CentOS. Nous pouvons utiliser la commande suivante pour installer Snort :

sudo yum install snort

Une fois l'installation terminée, nous pouvons utiliser la commande suivante pour démarrer le service Snort :

sudo systemctl start snort

Étape 2 : configurer Snort
Une fois l'installation terminée, nous devons effectuer quelques configurations de base pour garantir que Snort peut fonctionner correctement. Sur CentOS, le fichier de configuration Snort se trouve dans /etc/snort/snort.conf. Nous pouvons ouvrir le fichier avec un éditeur de texte et modifier les paramètres si nécessaire. /etc/snort/snort.conf。我们可以使用文本编辑器打开该文件,并根据需要修改其中的参数。

以下是一些常见的配置参数和示例:

  • ipvar HOME_NET any:指定允许访问服务器的网络范围,可以是单个IP地址、IP段或子网。
  • ipvar EXTERNAL_NET any:指定可信任的外部网络范围,Snort将针对此范围进行流量监控。
  • alert icmp any any -> $HOME_NET any (msg: "ICMP traffic detected"; sid: 10001):当检测到ICMP流量时,输出一个警报,并将其与SID 10001关联。

完成配置后,我们可以使用以下命令测试配置是否有效:

sudo snort -T -c /etc/snort/snort.conf

第二部分:启用IPS规则
第一步:下载IPS规则
IPS规则是确定何时发生攻击或异常行为的基础。我们可以从Snort官方网站下载最新的规则文件。

以下是下载规则文件的示例命令:

sudo wget https://www.snort.org/downloads/community/community-rules.tar.gz
sudo tar -xvf community-rules.tar.gz -C /etc/snort/rules/

第二步:启用规则集
在Snort配置文件中,我们需要添加以下命令来加载规则集:

include $RULE_PATH /community.rules

第三步:重启Snort服务
配置文件的更改需要重新启动Snort服务才能生效。我们可以使用以下命令重启Snort服务:

sudo systemctl restart snort

第三部分:监控IPS日志
一旦Snort开始监控流量并检测到异常活动,它会生成一个日志文件。我们可以使用以下命令查看日志文件:

sudo tail -f /var/log/snort/alert

第四部分:优化IPS性能

  • 启用多线程:在Snort配置文件中,可以通过设置config detection: search-method ac-split
  • Voici quelques paramètres de configuration courants et exemples :
    • ipvar HOME_NET any : spécifiez la plage réseau autorisée à accéder au serveur, qui peut être une adresse IP unique, un segment IP. , ou sous-réseau.
    • ipvar EXTERNAL_NET any : spécifiez une plage de réseau externe de confiance et Snort surveillera le trafic pour cette plage.

    • alert icmp any any -> $HOME_NET any (msg : "ICMP traffic approved" ; sid : 10001) : lorsque le trafic ICMP est détecté, générez une alerte et comparez-la avec l'association SID 10001.


    Après avoir terminé la configuration, nous pouvons utiliser la commande suivante pour tester si la configuration est valide :

    sudo wget https://www.snort.org/rules/snortrules-snapshot-XXXXX.tar.gz -O snortrules-snapshot.tar.gz
    sudo tar -xvf snortrules-snapshot.tar.gz -C /etc/snort/rules/
    🎜Partie 2 : Activer les règles IPS 🎜Étape 1 : Télécharger les règles IPS 🎜Les règles IPS sont la base pour déterminer quand une attaque ou un comportement anormal se produit. Nous pouvons télécharger les derniers fichiers de règles sur le site officiel de Snort. 🎜🎜Ce qui suit est un exemple de commande pour télécharger le fichier de règles : 🎜rrreee🎜Étape 2 : Activer l'ensemble de règles 🎜Dans le fichier de configuration Snort, nous devons ajouter la commande suivante pour charger l'ensemble de règles : 🎜rrreee🎜Étape 3 : Redémarrez le service Snort 🎜Configuration Les modifications apportées au fichier nécessitent le redémarrage du service Snort pour prendre effet. Nous pouvons redémarrer le service Snort à l'aide de la commande suivante : 🎜rrreee🎜Troisième partie : Surveillance des journaux IPS🎜Une fois que Snort commence à surveiller le trafic et détecte une activité inhabituelle, il générera un fichier journal. Nous pouvons afficher le fichier journal en utilisant la commande suivante : 🎜rrreee🎜Partie 4 : Optimisation des performances IPS🎜
      🎜Activer le multi-threading : Dans le fichier de configuration Snort, vous pouvez le définir en définissant la détection config : recherche- méthode ac-split pour activer les méthodes de détection multithread. 🎜🎜Optimiser le matériel : pour les déploiements IPS hautes performances, envisagez d'utiliser des serveurs et des adaptateurs réseau plus puissants. 🎜🎜🎜Mettez régulièrement à jour les règles : alors que de nouvelles menaces continuent d'apparaître, il est crucial de mettre régulièrement à jour les règles IPS. Les règles peuvent être téléchargées et mises à jour à l'aide de la commande suivante : 🎜rrreee🎜🎜🎜Conclusion : 🎜En configurant et en utilisant un système de prévention des intrusions (IPS), nous pouvons considérablement améliorer la sécurité des serveurs CentOS et empêcher les attaques malveillantes et les accès non autorisés. Cependant, l'IPS ne constitue qu'un élément de la sécurité des serveurs, et d'autres mesures de sécurité doivent être intégrées pour construire un système de défense complet garantissant la sécurité des serveurs et des données. 🎜

    Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!

    Déclaration:
    Le contenu de cet article est volontairement contribué par les internautes et les droits d'auteur appartiennent à l'auteur original. Ce site n'assume aucune responsabilité légale correspondante. Si vous trouvez un contenu suspecté de plagiat ou de contrefaçon, veuillez contacter admin@php.cn