Bagaimana untuk melindungi pelayan CentOS daripada akses tanpa kebenaran menggunakan sistem pengesanan pencerobohan (IDS)

Cara melindungi pelayan CentOS daripada capaian yang tidak dibenarkan menggunakan Sistem Pengesanan Pencerobohan (IDS)

Pengenalan: Sebagai pentadbir pelayan, melindungi pelayan daripada capaian yang tidak dibenarkan adalah tugas yang sangat penting. Sistem Pengesanan Pencerobohan (pendek kata IDS) boleh membantu kami mencapai matlamat ini. Artikel ini akan memperkenalkan cara memasang dan mengkonfigurasi Snort, alat IDS yang biasa digunakan, pada pelayan CentOS untuk melindungi pelayan daripada akses yang tidak dibenarkan.

1. Pasang Snort

1. Kemas kini pakej pelayan

Jalankan arahan berikut dalam terminal untuk mengemas kini pakej:

sudo yum update

2. Pasang dependencies

Memasang dependencies.Snort Jalankan arahan berikut dalam terminal untuk memasang kebergantungan ini:

sudo yum install libpcap-devel pcre-devel libdnet-devel

3. Muat turun dan susun Snort

Muat turun kod sumber Snort terkini, dan nyahzip fail yang dimuat turun:

wget https://www.snort.org/downloads/snort/snort-2.9.17.tar.gz
tar -xzf snort-2.9.17.tar.gz

Pergi ke direktori unzip, dan susun dan pasang Snort :

cd snort-2.9.17
./configure --enable-sourcefire
make
sudo make install

2. Konfigurasikan Snort

1. Buat fail konfigurasi Snort

Jalankan arahan berikut dalam terminal untuk mencipta fail konfigurasi Snort:

sudo cp /usr/local/src/snort-2.9.17/etc/*.conf* /usr/local/etc/
sudo cp /usr/local/src/snort-2.9.17/etc/*.map /usr/local/etc/

2. Edit Snort teks untuk membuka fail konfigurasi

Fail untuk penyuntingan:

sudo nano /usr/local/etc/snort.conf

Dalam fail konfigurasi, anda boleh menetapkan antara muka rangkaian yang ingin anda pantau, lokasi fail peraturan, dsb.

Sebagai contoh, anda boleh mengedit perkara berikut untuk memantau semua trafik pada antara muka eth0:

# 配置监控的网络接口
config interface: eth0

# 配置规则文件的位置
include $RULE_PATH/rules/*.rules

Selain itu, konfigurasi lain Snort boleh dilaraskan mengikut keperluan sebenar.

Fail Peraturan Konfigurasi

Snort menggunakan fail peraturan untuk mengesan dan menyekat kemungkinan pencerobohan. Anda boleh memuat turun fail peraturan terkini dari tapak web rasmi Snort dan letakkannya dalam direktori fail peraturan.

Secara lalai, direktori fail peraturan Snort ialah /usr/local/etc/rules Anda boleh melihat dan mengubah suai lokasi direktori ini dalam fail konfigurasi Snort.

Sebagai contoh, anda boleh mengedit yang berikut untuk menentukan direktori fail peraturan sebagai /usr/local/etc/rules:

# 配置规则文件的位置
RULE_PATH /usr/local/etc/rules

Start Snort

Jalankan arahan berikut dalam terminal untuk memulakan Snort:

This

sudo snort -A console -c /usr/local/etc/snort.conf -i eth0

akan membuka konsol Mulakan Snort dalam mod dan memantau trafik pada antara muka eth0.

3. Gunakan Snort untuk mengesan dan menyekat akses tanpa kebenaran

Log pemantauan

Snort akan merekodkan sebarang kemungkinan pencerobohan yang dikesan dalam fail log Snort. Anda boleh melihat dan mengubah suai lokasi fail log ini dalam fail konfigurasi Snort.

Sebagai contoh, anda boleh mengedit yang berikut untuk menentukan lokasi fail log sebagai /var/log/snort/alert.log:

# 配置日志文件的位置
output alert_syslog: LOG_AUTH LOG_ALERT
output alert_fast: alert
output alert_full: alert.log

# 配置日志文件的位置
config detection: search-method ac-split
config detection: ac-logdir /var/log/snort

Sekat IP

Jika anda mendapati alamat IP memberikan akses tanpa kebenaran, Anda boleh menggunakan ciri menyekat Snort untuk menyekat akses selanjutnya daripada alamat IP tersebut.

Jalankan arahan berikut dalam terminal untuk menyekat alamat IP:

sudo snort -A console -c /usr/local/etc/snort.conf -i eth0 --block -O

Tulis peraturan tersuai

Jika anda mempunyai keperluan khusus, anda boleh menulis peraturan Snort tersuai untuk mengesan dan menyekat pencerobohan tertentu.

Sebagai contoh, berikut ialah peraturan tersuai mudah untuk mengesan akses tanpa kebenaran melalui SSH:

# 检测通过SSH进行的未经授权访问
alert tcp $HOME_NET any -> $EXTERNAL_NET 22 (msg:"Unauthorized SSH Access"; flow:to_server,established; content:"SSH"; classtype:suspicious-login; sid:100001; rev:1;)

Buka fail peraturan menggunakan editor teks dan tambahkan peraturan tersuai pada penghujung fail.

Kemas kini peraturan

Pangkalan peraturan Snort dikemas kini secara aktif. Mengemas kini peraturan secara kerap memastikan Snort anda sentiasa mempunyai keupayaan pengesanan pencerobohan terkini.

Anda boleh memuat turun fail peraturan terkini dari tapak web rasmi Snort dan meletakkannya dalam direktori fail peraturan.

5. Kesimpulan

Dengan menggunakan sistem pengesanan pencerobohan (IDS) seperti Snort, kami boleh melindungi pelayan CentOS daripada akses yang tidak dibenarkan. Artikel ini mengambil pemasangan dan konfigurasi Snort sebagai contoh untuk memperkenalkan secara terperinci cara menggunakan IDS untuk memantau dan mencegah kemungkinan pencerobohan. Dengan mengikut langkah di atas dan mengkonfigurasinya dengan sewajarnya mengikut keperluan sebenar, kami boleh meningkatkan keselamatan pelayan dan mengurangkan potensi risiko.

Nota: Artikel ini hanya memperkenalkan secara ringkas cara menggunakan Snort sebagai sistem pengesanan pencerobohan, dan bukannya menerangkan prinsipnya dan semua pilihan konfigurasi secara terperinci. Untuk pemahaman yang lebih mendalam dan penerokaan lanjut, adalah disyorkan untuk merujuk kepada dokumentasi rasmi Snort atau bahan lain yang berkaitan.

Saya harap artikel ini membantu anda, dan saya harap pelayan anda selamat dan bebas kebimbangan!

Atas ialah kandungan terperinci Bagaimana untuk melindungi pelayan CentOS daripada akses tanpa kebenaran menggunakan sistem pengesanan pencerobohan (IDS). Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!