Bagaimana untuk melindungi pelayan CentOS daripada serangan menggunakan sistem pencegahan pencerobohan (IPS)

Cara menggunakan Sistem Pencegahan Pencerobohan (IPS) untuk melindungi pelayan CentOS daripada serangan

Petikan:
Dalam era digital hari ini, keselamatan pelayan adalah penting. Serangan siber dan pencerobohan menjadi lebih kerap, jadi keperluan untuk melindungi pelayan daripadanya menjadi semakin mendesak. Sistem pencegahan pencerobohan (IPS) ialah langkah keselamatan penting yang boleh membantu mengesan dan menyekat aktiviti berniat jahat serta melindungi pelayan daripada serangan. Dalam artikel ini, kita akan belajar cara mengkonfigurasi dan menggunakan IPS pada pelayan CentOS untuk meningkatkan keselamatan pelayan.

Bahagian Pertama: Pasang dan Konfigurasikan IPS
Langkah Pertama: Pasang Perisian IPS
Pertama, kita perlu memilih dan memasang perisian IPS yang sesuai. Snort ialah perisian IPS sumber terbuka yang popular yang tersedia di CentOS. Kita boleh menggunakan arahan berikut untuk memasang Snort:

sudo yum install snort

Selepas pemasangan selesai, kita boleh menggunakan arahan berikut untuk memulakan perkhidmatan Snort:

sudo systemctl start snort

Langkah 2: Konfigurasi Snort
Setelah pemasangan selesai, kita perlu melakukan beberapa konfigurasi asas untuk memastikan Snort boleh berfungsi dengan betul. Pada CentOS, fail konfigurasi Snort terletak di /etc/snort/snort.conf. Kami boleh membuka fail dengan editor teks dan mengubah suai parameter mengikut keperluan. /etc/snort/snort.conf。我们可以使用文本编辑器打开该文件，并根据需要修改其中的参数。

以下是一些常见的配置参数和示例：

• ipvar HOME_NET any：指定允许访问服务器的网络范围，可以是单个IP地址、IP段或子网。
• ipvar EXTERNAL_NET any：指定可信任的外部网络范围，Snort将针对此范围进行流量监控。
• alert icmp any any -> $HOME_NET any (msg: "ICMP traffic detected"; sid: 10001)：当检测到ICMP流量时，输出一个警报，并将其与SID 10001关联。

完成配置后，我们可以使用以下命令测试配置是否有效：

sudo snort -T -c /etc/snort/snort.conf

第二部分：启用IPS规则
第一步：下载IPS规则
IPS规则是确定何时发生攻击或异常行为的基础。我们可以从Snort官方网站下载最新的规则文件。

以下是下载规则文件的示例命令：

sudo wget https://www.snort.org/downloads/community/community-rules.tar.gz
sudo tar -xvf community-rules.tar.gz -C /etc/snort/rules/

第二步：启用规则集
在Snort配置文件中，我们需要添加以下命令来加载规则集：

include $RULE_PATH /community.rules

第三步：重启Snort服务
配置文件的更改需要重新启动Snort服务才能生效。我们可以使用以下命令重启Snort服务：

sudo systemctl restart snort

第三部分：监控IPS日志
一旦Snort开始监控流量并检测到异常活动，它会生成一个日志文件。我们可以使用以下命令查看日志文件：

sudo tail -f /var/log/snort/alert

第四部分：优化IPS性能

• 启用多线程：在Snort配置文件中，可以通过设置config detection: search-method ac-split
Berikut ialah beberapa parameter dan contoh konfigurasi biasa:
• ipvar HOME_NET mana-mana: Tentukan julat rangkaian yang dibenarkan untuk mengakses pelayan, yang boleh menjadi alamat IP tunggal, segmen IP , atau subnet.

  • ipvar EXTERNAL_NET mana-mana: Tentukan julat rangkaian luaran yang dipercayai, Snort akan memantau trafik untuk julat ini.

  maklumkan icmp mana-mana -> $HOME_NET mana-mana (msg: "trafik ICMP dikesan"; sid: 10001): Apabila trafik ICMP dikesan, keluarkan amaran dan bandingkannya dengan perkaitan SID 10001.

  
  Selepas melengkapkan konfigurasi, kita boleh menggunakan arahan berikut untuk menguji sama ada konfigurasi itu sah:

  sudo wget https://www.snort.org/rules/snortrules-snapshot-XXXXX.tar.gz -O snortrules-snapshot.tar.gz
  sudo tar -xvf snortrules-snapshot.tar.gz -C /etc/snort/rules/

  Salin selepas log masuk
  🎜Bahagian 2: Dayakan peraturan IPS 🎜Langkah 1: Muat turun peraturan IPS 🎜Peraturan IPS adalah asas untuk menentukan bila serangan atau tingkah laku abnormal berlaku. Kami boleh memuat turun fail peraturan terkini dari tapak web rasmi Snort. 🎜🎜Berikut ialah contoh arahan untuk memuat turun fail peraturan: 🎜rrreee🎜Langkah 2: Dayakan set peraturan 🎜Dalam fail konfigurasi Snort, kita perlu menambah arahan berikut untuk memuatkan set peraturan: 🎜rrreee🎜Langkah 3: Mulakan semula perkhidmatan Snort 🎜Perubahan Fail Konfigurasi memerlukan memulakan semula perkhidmatan Snort untuk berkuat kuasa. Kita boleh memulakan semula perkhidmatan Snort menggunakan arahan berikut: 🎜rrreee🎜Bahagian Tiga: Memantau Log IPS🎜Setelah Snort mula memantau trafik dan mengesan aktiviti luar biasa, ia akan menjana fail log. Kita boleh melihat fail log menggunakan arahan berikut: 🎜rrreee🎜Bahagian 4: Mengoptimumkan prestasi IPS🎜
  🎜Dayakan multi-threading: Dalam fail konfigurasi Snort, anda boleh menetapkannya dengan menetapkan pengesanan konfigurasi: carian- kaedah ac-split untuk mendayakan kaedah pengesanan berbilang benang. 🎜🎜Optimumkan perkakasan: Untuk penggunaan IPS berprestasi tinggi, pertimbangkan untuk menggunakan pelayan yang lebih berkuasa dan penyesuai rangkaian. 🎜🎜🎜Kemas kini peraturan dengan kerap: Memandangkan ancaman baharu terus muncul, adalah penting untuk mengemas kini peraturan IPS dengan kerap. Peraturan boleh dimuat turun dan dikemas kini menggunakan arahan berikut: 🎜rrreee🎜🎜🎜Kesimpulan: 🎜Dengan mengkonfigurasi dan menggunakan Sistem Pencegahan Pencerobohan (IPS), kami boleh meningkatkan keselamatan pelayan CentOS dengan hebat dan mencegah serangan berniat jahat dan akses tanpa kebenaran. Walau bagaimanapun, IPS hanyalah sebahagian daripada keselamatan pelayan, dan langkah keselamatan lain perlu disepadukan untuk membina sistem pertahanan yang komprehensif untuk memastikan keselamatan pelayan dan data. 🎜

  Atas ialah kandungan terperinci Bagaimana untuk melindungi pelayan CentOS daripada serangan menggunakan sistem pencegahan pencerobohan (IPS). Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!