ネットワーク侵入検知システム (NIDS) を使用して CentOS サーバーを保護する方法

ネットワーク侵入検知システム (NIDS) を使用して CentOS サーバーを保護する方法

はじめに:
現代のネットワーク環境では、サーバーのセキュリティが非常に重要です。攻撃者はさまざまな手段を使ってサーバーに侵入し、機密データを盗んだり、システムを侵害しようとします。サーバーのセキュリティを確保するために、ネットワーク侵入検知システム (NIDS) を使用して、潜在的な攻撃をリアルタイムで監視および検出できます。

この記事では、CentOS サーバー上で NIDS を構成して使用し、サーバーを保護する方法を紹介します。

ステップ 1: SNORT をインストールして構成する
SNORT は、ネットワーク トラフィックを監視し、潜在的な攻撃を検出するために使用できるオープン ソースの侵入検知システムです。まず、SNORT をインストールする必要があります。

1. ターミナルを開き、root 権限でサーバーにログインします。
2. 次のコマンドを使用して SNORT をインストールします:

yum install epel-release
yum install snort

3. インストールが完了したら、SNORT を構成する必要があります。まず、新しい構成ファイルを作成する必要があります。次のコマンドを使用して、新しい構成ファイルを作成して開きます。

cp /etc/snort/snort.conf /etc/snort/snort.conf.backup
vim /etc/snort/snort.conf

4. 構成ファイルでは、必要に応じて SNORT をカスタマイズできます。また、必ず次の行のコメントを解除して、対応する機能を有効にしてください。

include $RULE_PATH/local.rules
include $RULE_PATH/snort.rules
include $RULE_PATH/community.rules

5. 構成ファイルを保存して閉じます。

ステップ 2: NIDS ルールを構成する
SNORT では、ルールを使用して、検出する攻撃の種類を定義します。既存のルール セットを使用することも、カスタム ルールを作成することもできます。

1. ターミナルを開き、次のコマンドを使用して SNORT ルール ディレクトリに入ります:

cd /etc/snort/rules/

2. 次のコマンドを使用して最新のルール セットをダウンロードします:

wget https://www.snort.org/downloads/community/community-rules.tar.gz
tar -xvf community-rules.tar.gz

3. ダウンロードと解凍が完了すると、rules ディレクトリにルール ファイルが見つかります。これらのルール ファイルには拡張子 .rules が付いています。
4. カスタム ルールを追加する場合は、新しいルール ファイルを作成し、そのファイルにルールを追加します。たとえば、次のコマンドを使用して、custom.rules という名前のルール ファイルを作成できます。

vim custom.rules

5. ルール ファイルにカスタム ルールを追加できます。次に例を示します。

alert tcp any any -> any any (msg:"Possible SSH brute force attack"; 
                         flow:from_client,established; content:"SSH-"; 
                         threshold:type limit, track by_src, count 5, 
                         seconds 60; sid:10001; rev:1;)

6. ルール ファイルを保存して閉じます。

ステップ 3: SNORT を開始してトラフィックを監視する
SNORT とルールを構成した後、SNORT を開始してトラフィックの監視を開始できます。

1. ターミナルを開き、次のコマンドを使用して SNORT を開始します。

snort -A console -c /etc/snort/snort.conf -i eth0

その中で、 -A console は、アラート メッセージをコンソールに出力することを指定します。 -c / etc/snort/snort .conf は、以前に構成した SNORT 構成ファイルを使用することを指定し、-i eth0 は監視するネットワーク インターフェイスを指定します。

2. SNORT はトラフィックの監視を開始し、潜在的な攻撃を検出します。不審なアクティビティがある場合は、警告メッセージが生成され、コンソールに出力されます。

ステップ 4: SNORT アラーム通知を設定する
アラーム メッセージを時間内に受け取るために、電子メール通知機能を使用して、電子メール アドレスにアラーム メッセージを送信できます。

1. ターミナルを開き、次のコマンドを使用して電子メール通知プラグインをインストールします。

yum install barnyard2
yum install sendmail

2. インストールが完了したら、新しい設定ファイル。サンプル構成ファイルをコピーし、次のコマンドを使用して新しい構成ファイルを開きます。

cp /etc/barnyard2/barnyard2.conf /etc/barnyard2/barnyard2.conf.backup
vim /etc/barnyard2/barnyard2.conf

3. 構成ファイル内で、次の行を見つけてコメントを解除します。

output alert_syslog_full
output database: log, mysql, user=snort password=snort dbname=snort host=localhost
output alert_fast: snort.alert

config reference_file: reference.config
config classification_file:classification.config
config gen_file: gen-msg.map
config sid_file: sid-msg.map

4. SMTP サーバーと電子メールの設定に基づいて、必要に応じて次の行を変更します。

output alert_full: alert.full
output log_unified2: filename unified2.log, limit 128
output smtp: email@example.com

5. 構成ファイルを保存して閉じます。
6. 次のコマンドを使用して barnyard2 を開始します。

barnyard2 -c /etc/barnyard2/barnyard2.conf -d /var/log/snort/

7. その後、SNORT が不審なアクティビティを検出すると、警告メッセージが生成され、指定された電子メール アドレスに送信されます。

結論:
ネットワーク侵入検知システム (NIDS) を導入して CentOS サーバーを保護することは非常に重要です。 SNORT を使用すると、ネットワーク トラフィックを監視し、潜在的な攻撃を検出できます。この記事の手順に従うことで、SNORT を構成し、サーバーを監視および保護するためのルールを設定できます。さらに、電子メール通知機能を使用して、アラートメッセージをタイムリーに取得することもできます。

以上がネットワーク侵入検知システム (NIDS) を使用して CentOS サーバーを保護する方法の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。