ホームページ >運用・保守 >Linuxの運用と保守 >侵入検知システム (IDS) を使用して CentOS サーバーを不正アクセスから保護する方法
侵入検知システム (IDS) を使用して CentOS サーバーを不正アクセスから保護する方法
はじめに: サーバー管理者として、サーバーを不正アクセスから保護することは非常に重要なタスクです。侵入検知システム (IDS) は、この目標の達成に役立ちます。この記事では、一般的に使用される IDS ツールである Snort を CentOS サーバーにインストールして構成し、サーバーを不正アクセスから保護する方法を紹介します。
1. Snort のインストール
ターミナルで次のコマンドを実行してソフトウェア パッケージを更新します:
sudo yum update
Snort をインストールするには、いくつかの依存関係が必要です。ターミナルで次のコマンドを実行して、これらの依存関係をインストールします。
sudo yum install libpcap-devel pcre-devel libdnet-devel
最新の Snort ソース コードをダウンロードし、ダウンロードしたファイルを解凍します:
wget https://www.snort.org/downloads/snort/snort-2.9.17.tar.gz tar -xzf snort-2.9.17.tar.gz
解凍したディレクトリに移動し、Snort をコンパイルしてインストールします:
cd snort-2.9.17 ./configure --enable-sourcefire make sudo make install
2. Snort を設定します
sudo cp /usr/local/src/snort-2.9.17/etc/*.conf* /usr/local/etc/ sudo cp /usr/local/src/snort-2.9.17/etc/*.map /usr/local/etc/
sudo nano /usr/local/etc/snort.conf設定ファイルでは、監視したいネットワークインターフェースやルールファイルの場所などを設定できます。 たとえば、次を編集して eth0 インターフェイス上のすべてのトラフィックを監視できます:
# 配置监控的网络接口 config interface: eth0 # 配置规则文件的位置 include $RULE_PATH/rules/*.rulesさらに、Snort の他の構成は実際のニーズに応じて調整できます。
# 配置规则文件的位置 RULE_PATH /usr/local/etc/rules
sudo snort -A console -c /usr/local/etc/snort.conf -i eth0これにより、Snort がコンソール モードで開始され、eth0 インターフェイス上のトラフィックが監視されます。 3. Snort を使用して不正アクセスを検出し、防止します
# 配置日志文件的位置 output alert_syslog: LOG_AUTH LOG_ALERT output alert_fast: alert output alert_full: alert.log # 配置日志文件的位置 config detection: search-method ac-split config detection: ac-logdir /var/log/snort
sudo snort -A console -c /usr/local/etc/snort.conf -i eth0 --block -O
# 检测通过SSH进行的未经授权访问 alert tcp $HOME_NET any -> $EXTERNAL_NET 22 (msg:"Unauthorized SSH Access"; flow:to_server,established; content:"SSH"; classtype:suspicious-login; sid:100001; rev:1;)テキスト エディターを使用してルール ファイルを開き、ファイルの最後にカスタム ルールを追加します。
以上が侵入検知システム (IDS) を使用して CentOS サーバーを不正アクセスから保護する方法の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。