Cara Melindungi Pelayan CentOS Menggunakan Sistem Pengesanan Pencerobohan Rangkaian (NIDS)

Cara melindungi pelayan CentOS menggunakan Network Intrusion Detection System (NIDS)

Pengenalan:
Dalam persekitaran rangkaian moden, keselamatan pelayan adalah penting. Penyerang menggunakan pelbagai cara untuk cuba menceroboh masuk ke pelayan kami dan mencuri data sensitif atau sistem kompromi. Untuk memastikan keselamatan pelayan, kami boleh menggunakan Sistem Pengesanan Pencerobohan Rangkaian (NIDS) untuk pemantauan masa nyata dan pengesanan kemungkinan serangan.

Artikel ini akan memperkenalkan cara mengkonfigurasi dan menggunakan NIDS pada pelayan CentOS untuk melindungi pelayan.

Langkah 1: Pasang dan konfigurasikan SNORT
SNORT ialah sistem pengesanan pencerobohan sumber terbuka yang boleh kami gunakan untuk memantau trafik rangkaian dan mengesan kemungkinan serangan. Pertama, kita perlu memasang SNORT.

1. Buka terminal dan log masuk ke pelayan dengan keistimewaan root.
2. Gunakan arahan berikut untuk memasang SNORT:

yum install epel-release
yum install snort

3. Selepas pemasangan selesai, kita perlu mengkonfigurasi SNORT. Pertama, kita perlu mencipta fail konfigurasi baharu. Cipta dan buka fail konfigurasi baharu menggunakan arahan berikut:

cp /etc/snort/snort.conf /etc/snort/snort.conf.backup
vim /etc/snort/snort.conf

4. Dalam fail konfigurasi, SNORT boleh disesuaikan mengikut keperluan. Juga, pastikan anda menyahkomen baris berikut untuk mendayakan ciri yang sepadan:

include $RULE_PATH/local.rules
include $RULE_PATH/snort.rules
include $RULE_PATH/community.rules

5. Simpan dan tutup fail konfigurasi.

Langkah 2: Konfigurasikan Peraturan NIDS
Dalam SNORT, peraturan digunakan untuk menentukan jenis serangan yang ingin kami kesan. Kita boleh menggunakan set peraturan sedia ada atau membuat peraturan tersuai.

1. Buka terminal dan masukkan direktori peraturan SNORT menggunakan arahan berikut:

cd /etc/snort/rules/

2. Gunakan arahan berikut untuk memuat turun set peraturan terkini:

wget https://www.snort.org/downloads/community/community-rules.tar.gz
tar -xvf community-rules.tar.gz

3. Selepas muat turun dan pengekstrakan selesai, kita boleh mencari peraturan selesai fail dalam direktori peraturan. Fail peraturan ini mempunyai sambungan .rules.
4. Jika kami ingin menambah peraturan tersuai, kami boleh membuat fail peraturan baharu dan menambah peraturan di dalamnya. Sebagai contoh, kita boleh mencipta fail peraturan yang dipanggil custom.rules menggunakan arahan berikut:

vim custom.rules

5. Dalam fail peraturan, kita boleh menambah peraturan tersuai. Berikut ialah contoh:

alert tcp any any -> any any (msg:"Possible SSH brute force attack"; 
                         flow:from_client,established; content:"SSH-"; 
                         threshold:type limit, track by_src, count 5, 
                         seconds 60; sid:10001; rev:1;)

6. Simpan dan tutup fail peraturan.

Langkah 3: Mulakan SNORT dan pantau trafik
Selepas mengkonfigurasi SNORT dan peraturan, kita boleh mula SNORT dan mula memantau trafik.

1. Buka terminal dan gunakan arahan berikut untuk memulakan SNORT:

snort -A console -c /etc/snort/snort.conf -i eth0

Antaranya, -Konsol menentukan untuk mengeluarkan mesej amaran kepada konsol, -c /etc/snort/snort.conf menentukan untuk menggunakan SNORT fail konfigurasi yang kami konfigurasikan sebelum ini, -i eth0 menentukan antara muka rangkaian untuk dipantau.

2. SNORT akan mula memantau trafik dan mengesan kemungkinan serangan. Jika terdapat sebarang aktiviti yang mencurigakan, ia akan menjana mesej amaran dan mengeluarkannya ke konsol.

Langkah 4: Sediakan pemberitahuan penggera SNORT
Untuk mendapatkan mesej penggera tepat pada masanya, kami boleh menggunakan fungsi pemberitahuan e-mel untuk menghantar mesej penggera ke alamat e-mel kami.

1. Buka terminal dan gunakan arahan berikut untuk memasang pemalam pemberitahuan e-mel:

yum install barnyard2
yum install sendmail

2. Selepas pemasangan selesai, kita perlu mencipta fail konfigurasi baharu. Salin fail konfigurasi contoh dan buka fail konfigurasi baharu menggunakan arahan berikut:

cp /etc/barnyard2/barnyard2.conf /etc/barnyard2/barnyard2.conf.backup
vim /etc/barnyard2/barnyard2.conf

3. Dalam fail konfigurasi, cari dan nyahkomen baris berikut:

output alert_syslog_full
output database: log, mysql, user=snort password=snort dbname=snort host=localhost
output alert_fast: snort.alert

config reference_file: reference.config
config classification_file:classification.config
config gen_file: gen-msg.map
config sid_file: sid-msg.map

4. Ubah suai baris berikut mengikut pelayan SMTP dan mel kami. pengubahsuaian yang sesuai pada tetapan:

output alert_full: alert.full
output log_unified2: filename unified2.log, limit 128
output smtp: email@example.com

5. Simpan dan tutup fail konfigurasi.
6. Mulakan barnyard2 menggunakan arahan berikut:

barnyard2 -c /etc/barnyard2/barnyard2.conf -d /var/log/snort/

7. Kemudian, jika SNORT mengesan aktiviti yang mencurigakan, ia akan menjana mesej amaran dan menghantarnya ke alamat e-mel kami yang ditentukan.

Kesimpulan:
Adalah sangat penting untuk melindungi pelayan CentOS kami dengan menggunakan Sistem Pengesanan Pencerobohan Rangkaian (NIDS). Kami boleh menggunakan SNORT untuk memantau trafik rangkaian dan mengesan kemungkinan serangan. Dengan mengikut langkah dalam artikel ini, kami boleh mengkonfigurasi SNORT dan menyediakan peraturan untuk memantau dan melindungi pelayan kami. Selain itu, kami juga boleh menggunakan fungsi pemberitahuan e-mel untuk mendapatkan mesej amaran tepat pada masanya.

Atas ialah kandungan terperinci Cara Melindungi Pelayan CentOS Menggunakan Sistem Pengesanan Pencerobohan Rangkaian (NIDS). Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!