如何使用網路入侵偵測系統（NIDS）保護CentOS伺服器

如何使用網路入侵偵測系統（NIDS）保護CentOS伺服器

引言:
在現代網路環境中，伺服器安全性是至關重要的。攻擊者使用各種手段嘗試入侵我們的伺服器，並竊取敏感資料或破壞系統。為了確保伺服器的安全性，我們可以使用網路入侵偵測系統（NIDS）進行即時監控和偵測潛在的攻擊。

本文將介紹如何在CentOS伺服器上設定和使用NIDS來保護伺服器。

步驟1：安裝和設定SNORT
SNORT是一個開源的入侵偵測系統，我們可以使用它來監控網路流量並偵測可能的攻擊。首先，我們要安裝SNORT。

1. 開啟終端機並使用root權限登入伺服器。
2. 使用以下指令來安裝SNORT：

yum install epel-release
yum install snort

3. 安裝結束後，我們需要設定SNORT。首先，我們需要建立一個新的設定檔。使用以下命令建立並開啟新的設定檔：

cp /etc/snort/snort.conf /etc/snort/snort.conf.backup
vim /etc/snort/snort.conf

4. 在設定檔中，可以根據需要對SNORT進行自訂設定。另外，請確保uncomment以下幾行，以啟用相應的功能：

include $RULE_PATH/local.rules
include $RULE_PATH/snort.rules
include $RULE_PATH/community.rules

5. 儲存並關閉設定檔。

步驟2：設定NIDS規則
在SNORT中，規則用來定義我們希望偵測的攻擊類型。我們可以使用已有的規則集或建立自訂規則。

1. 開啟終端機並使用下列指令進入SNORT規則目錄：

cd /etc/snort/rules/

2. 使用下列指令下載最新的規則集：
##

wget https://www.snort.org/downloads/community/community-rules.tar.gz
tar -xvf community-rules.tar.gz

下載和提取完成後，我們可以在rules目錄中找到規則檔案。這些規則檔案具有副檔名為.rules。
3. 如果我們想要新增自訂規則，可以建立一個新的規則文件，並在其中新增規則。例如，我們可以使用以下命令建立一個名為custom.rules的規則檔案：

4. vim custom.rules

在規則檔案中，我們可以新增自訂規則。以下是一個範例：

5. alert tcp any any -> any any (msg:"Possible SSH brute force attack"; 
                            flow:from_client,established; content:"SSH-"; 
                            threshold:type limit, track by_src, count 5, 
                            seconds 60; sid:10001; rev:1;)

儲存並關閉規則檔。

步驟3：啟動SNORT並監控流量

設定SNORT和規則後，我們可以啟動SNORT並開始監控流量。

開啟終端機並使用下列指令啟動SNORT：

1. snort -A console -c /etc/snort/snort.conf -i eth0

其中，-A console指定將警報訊息輸出到控制台，-c /etc/snort/snort .conf指定使用我們先前配置的SNORT設定文件，-i eth0指定要監控的網路介面。

SNORT將開始監控流量並偵測潛在的攻擊。如果有任何可疑的活動，它將產生警報訊息並將其輸出到控制台。

步驟4：設定SNORT警報通知

為了能夠及時取得警報訊息，我們可以使用郵件通知功能來將警報訊息傳送到我們的電子郵件地址。

開啟終端機並使用以下命令安裝郵件通知外掛程式：

1. yum install barnyard2
   yum install sendmail

安裝完成後，我們需要建立一個新的設定檔。使用以下命令複製範例設定檔並開啟一個新的設定檔：

2. cp /etc/barnyard2/barnyard2.conf /etc/barnyard2/barnyard2.conf.backup
   vim /etc/barnyard2/barnyard2.conf

在設定檔中，找到以下幾行並取消註解：

3. output alert_syslog_full
   output database: log, mysql, user=snort password=snort dbname=snort host=localhost
   output alert_fast: snort.alert
   
   config reference_file: reference.config
   config classification_file:classification.config
   config gen_file: gen-msg.map
   config sid_file: sid-msg.map

修改以下幾行，根據我們的SMTP伺服器和郵件設定進行適當修改：

4. output alert_full: alert.full
   output log_unified2: filename unified2.log, limit 128
   output smtp: email@example.com

儲存並關閉設定檔。
5. 使用以下命令啟動barnyard2：

6. barnyard2 -c /etc/barnyard2/barnyard2.conf -d /var/log/snort/

稍後，如果SNORT偵測到可疑活動，它將產生警報訊息並將其發送到我們指定的電子郵件地址。

結論:

透過部署網路入侵偵測系統（NIDS）來保護我們的CentOS伺服器是非常重要的。我們可以使用SNORT來監控網路流量並偵測潛在的攻擊。透過遵循本文中的步驟，我們可以設定SNORT並設定規則來監控和保護我們的伺服器。此外，我們還可以使用郵件通知功能及時取得警報訊息。

以上是如何使用網路入侵偵測系統（NIDS）保護CentOS伺服器的詳細內容。更多資訊請關注PHP中文網其他相關文章！