Cara melindungi pelayan CentOS daripada capaian yang tidak dibenarkan menggunakan Sistem Pengesanan Pencerobohan (IDS)
Pengenalan: Sebagai pentadbir pelayan, melindungi pelayan daripada capaian yang tidak dibenarkan adalah tugas yang sangat penting. Sistem Pengesanan Pencerobohan (pendek kata IDS) boleh membantu kami mencapai matlamat ini. Artikel ini akan memperkenalkan cara memasang dan mengkonfigurasi Snort, alat IDS yang biasa digunakan, pada pelayan CentOS untuk melindungi pelayan daripada akses yang tidak dibenarkan.
1. Pasang Snort
- Kemas kini pakej pelayan
Jalankan arahan berikut dalam terminal untuk mengemas kini pakej:
sudo yum update
Salin selepas log masuk
- Pasang dependencies
Memasang dependencies.Snort Jalankan arahan berikut dalam terminal untuk memasang kebergantungan ini:
sudo yum install libpcap-devel pcre-devel libdnet-devel
Salin selepas log masuk
- Muat turun dan susun Snort
Muat turun kod sumber Snort terkini, dan nyahzip fail yang dimuat turun:
wget https://www.snort.org/downloads/snort/snort-2.9.17.tar.gz
tar -xzf snort-2.9.17.tar.gz
Salin selepas log masuk
Pergi ke direktori unzip, dan susun dan pasang Snort :
cd snort-2.9.17
./configure --enable-sourcefire
make
sudo make install
Salin selepas log masuk
2. Konfigurasikan Snort
- Buat fail konfigurasi Snort
Jalankan arahan berikut dalam terminal untuk mencipta fail konfigurasi Snort:
sudo cp /usr/local/src/snort-2.9.17/etc/*.conf* /usr/local/etc/
sudo cp /usr/local/src/snort-2.9.17/etc/*.map /usr/local/etc/
Salin selepas log masuk
- Edit Snort teks untuk membuka fail konfigurasi
Fail untuk penyuntingan:
sudo nano /usr/local/etc/snort.conf
Salin selepas log masuk
Dalam fail konfigurasi, anda boleh menetapkan antara muka rangkaian yang ingin anda pantau, lokasi fail peraturan, dsb.
Sebagai contoh, anda boleh mengedit perkara berikut untuk memantau semua trafik pada antara muka eth0:
# 配置监控的网络接口
config interface: eth0
# 配置规则文件的位置
include $RULE_PATH/rules/*.rules
Salin selepas log masuk
Selain itu, konfigurasi lain Snort boleh dilaraskan mengikut keperluan sebenar.
Fail Peraturan Konfigurasi
Snort menggunakan fail peraturan untuk mengesan dan menyekat kemungkinan pencerobohan. Anda boleh memuat turun fail peraturan terkini dari tapak web rasmi Snort dan letakkannya dalam direktori fail peraturan.
Secara lalai, direktori fail peraturan Snort ialah /usr/local/etc/rules Anda boleh melihat dan mengubah suai lokasi direktori ini dalam fail konfigurasi Snort.
Sebagai contoh, anda boleh mengedit yang berikut untuk menentukan direktori fail peraturan sebagai /usr/local/etc/rules:
# 配置规则文件的位置
RULE_PATH /usr/local/etc/rules
Salin selepas log masuk
Start Snort
Jalankan arahan berikut dalam terminal untuk memulakan Snort:
This
sudo snort -A console -c /usr/local/etc/snort.conf -i eth0
Salin selepas log masuk
akan membuka konsol Mulakan Snort dalam mod dan memantau trafik pada antara muka eth0.
3. Gunakan Snort untuk mengesan dan menyekat akses tanpa kebenaran
Log pemantauan
Snort akan merekodkan sebarang kemungkinan pencerobohan yang dikesan dalam fail log Snort. Anda boleh melihat dan mengubah suai lokasi fail log ini dalam fail konfigurasi Snort.
Sebagai contoh, anda boleh mengedit yang berikut untuk menentukan lokasi fail log sebagai /var/log/snort/alert.log:
# 配置日志文件的位置
output alert_syslog: LOG_AUTH LOG_ALERT
output alert_fast: alert
output alert_full: alert.log
# 配置日志文件的位置
config detection: search-method ac-split
config detection: ac-logdir /var/log/snort
Salin selepas log masuk
Sekat IP
Jika anda mendapati alamat IP memberikan akses tanpa kebenaran, Anda boleh menggunakan ciri menyekat Snort untuk menyekat akses selanjutnya daripada alamat IP tersebut.
Jalankan arahan berikut dalam terminal untuk menyekat alamat IP:
sudo snort -A console -c /usr/local/etc/snort.conf -i eth0 --block -O
Salin selepas log masuk
Tulis peraturan tersuai
Jika anda mempunyai keperluan khusus, anda boleh menulis peraturan Snort tersuai untuk mengesan dan menyekat pencerobohan tertentu.
Sebagai contoh, berikut ialah peraturan tersuai mudah untuk mengesan akses tanpa kebenaran melalui SSH:
# 检测通过SSH进行的未经授权访问
alert tcp $HOME_NET any -> $EXTERNAL_NET 22 (msg:"Unauthorized SSH Access"; flow:to_server,established; content:"SSH"; classtype:suspicious-login; sid:100001; rev:1;)
Salin selepas log masuk
Buka fail peraturan menggunakan editor teks dan tambahkan peraturan tersuai pada penghujung fail.
Kemas kini peraturan-
Pangkalan peraturan Snort dikemas kini secara aktif. Mengemas kini peraturan secara kerap memastikan Snort anda sentiasa mempunyai keupayaan pengesanan pencerobohan terkini.
Anda boleh memuat turun fail peraturan terkini dari tapak web rasmi Snort dan meletakkannya dalam direktori fail peraturan.
5. Kesimpulan
Dengan menggunakan sistem pengesanan pencerobohan (IDS) seperti Snort, kami boleh melindungi pelayan CentOS daripada akses yang tidak dibenarkan. Artikel ini mengambil pemasangan dan konfigurasi Snort sebagai contoh untuk memperkenalkan secara terperinci cara menggunakan IDS untuk memantau dan mencegah kemungkinan pencerobohan. Dengan mengikut langkah di atas dan mengkonfigurasinya dengan sewajarnya mengikut keperluan sebenar, kami boleh meningkatkan keselamatan pelayan dan mengurangkan potensi risiko.
Nota: Artikel ini hanya memperkenalkan secara ringkas cara menggunakan Snort sebagai sistem pengesanan pencerobohan, dan bukannya menerangkan prinsipnya dan semua pilihan konfigurasi secara terperinci. Untuk pemahaman yang lebih mendalam dan penerokaan lanjut, adalah disyorkan untuk merujuk kepada dokumentasi rasmi Snort atau bahan lain yang berkaitan.
Saya harap artikel ini membantu anda, dan saya harap pelayan anda selamat dan bebas kebimbangan!
Atas ialah kandungan terperinci Bagaimana untuk melindungi pelayan CentOS daripada akses tanpa kebenaran menggunakan sistem pengesanan pencerobohan (IDS). Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!