|
如果我們應(yīng)用電腦�,使用的是Linux操作系統(tǒng)。對你而言花費大量的工夫仔細審查系統(tǒng)的弱點和問題是完全可能的�����?赡苣悴⒉徽娴孟M@樣����,但卻有此可能��。這就需要IDS入侵檢測工具��。簡單介紹幾款Linux下的IDS入侵檢測工具 psad��、Apparmor�����、SELinuxu等.在之前的文章里也曾對入侵檢測系統(tǒng)簡介進行過介紹 �����。我們可以先去了解一下入侵檢測系統(tǒng)原理和實踐�。
在現(xiàn)代,機器上的任何用戶賬戶都有可能被用來作惡����。筆者認(rèn)為�����,將全部的重點都放在保護root上����,就好像其它用戶賬戶不重要一樣���,這是Linux和Unix安全中一個長期存在的��、慢性的弱點問題�����。一次簡單的重裝可以替換受損的系統(tǒng)文件����,不過數(shù)據(jù)文件怎么辦?任何入侵都擁有造成大量破壞的潛力�。事實上���,要散布垃圾郵件���、復(fù)制敏感文件�����、提供虛假的音樂或電影文件��、對其它系統(tǒng)發(fā)動攻擊�����,根本就不需要獲得對root的訪問��。
IDS新寵:PSAD
Psad是端口掃描攻擊檢測程序的簡稱�����,它作為一個新工具����,可以與iptables和Snort等緊密合作�����,向我們展示所有試圖進入網(wǎng)絡(luò)的惡意企圖��。這是筆者首選的Linux入侵檢測系統(tǒng)。它使用了許多snort工具�,它可以與fwsnort和iptables的日志結(jié)合使用,意味著你甚至可以深入到應(yīng)用層并執(zhí)行一些內(nèi)容分析����。它可以像Nmap一樣執(zhí)行數(shù)據(jù)包頭部的分析,向用戶發(fā)出警告��,甚至可以對其進行配置以便于自動阻止可疑的IP地址�。
事實上,任何入侵檢測系統(tǒng)的一個關(guān)鍵方面是捕獲并分析大量的數(shù)據(jù)���。如果不這樣做��,那只能是盲目亂來��,并不能真正有效地調(diào)整IDS�����。我們可以將PSAD的數(shù)據(jù)導(dǎo)出到AfterGlow 和 Gnuplot中�����,從而可以知道到底是誰正在攻擊防火墻,而且是以一種很友好的界面展示。
老當(dāng)益壯:Snort
正如一位可信任的老人���,隨著年齡的增長�,Snort也愈發(fā)成熟��。它是一款輕量級且易于使用的工具����,可以獨立運行,也可以與psad和iptables一起使用����。我們可以從Linux的發(fā)行版本的程序庫中找到并安裝它,比起過去的源代碼安裝這應(yīng)該是一個很大的進步��。至于保持其規(guī)則的更新問題���,也是同樣的簡單����,因為作為Snort的規(guī)則更新程序和管理程序����,oinkmaster也在Linux發(fā)行版本的程序庫中�。 Snort易于管理�����,雖然它有一些配置上的要求�����。要開始使用它���,默認(rèn)的配置對大多數(shù)網(wǎng)絡(luò)系統(tǒng)并不適用��,因為它將所有不需要的規(guī)則也包括在其中�。所以我們要做的第一件事情是清除所有不需要的規(guī)則��,否則就會損害性能�����,并會生成一些虛假的警告�����。
另外一個重要的策略是要以秘密模式運行Snort����,也就是說要監(jiān)聽一個沒有IP地址的網(wǎng)絡(luò)接口。在沒有為它分配IP地址的接口上�����,如ifconfig eth0 up���,以-i選項來運行Snort���,如snort –i eth0。還有可能發(fā)生這樣的事情:如果你的網(wǎng)絡(luò)管理程序正運行在系統(tǒng)中��,那它就會“有助于”展現(xiàn)出還沒有配置的端口���,因此建議還是清除網(wǎng)絡(luò)管理程序�。
Snort可以收集大量的數(shù)據(jù)�����,因此需要添加BASE(基本分析和安全引擎)�����,以便于獲得一個友好的可視化的分析工具,它以較老的ACID(入侵?jǐn)?shù)據(jù)庫分析控制臺)為基礎(chǔ)����。
簡潔方便:chkrootkit和rootkit
Rootkit檢測程序chkrootkit和rootkit Hunter也算是老牌的rootkit檢測程序了。很明顯���,在從一個不可寫的外部設(shè)備運行時��,它們是更可信任的工具��,如從一個CD或?qū)懕Wo的USB驅(qū)動器上運行時就是這樣�。筆者喜歡SD卡�,就是因為那個寫保護的的開關(guān)。這兩個程序可以搜索已知的rooktkit�、后門和本地的漏洞利用程序,并且可以發(fā)現(xiàn)有限的一些可疑活動����。我們需要運行這些工具的理由在于,它們可以查看文件系統(tǒng)上的/proc���、ps和其它的一些重要的活動����。雖然它們不是用于網(wǎng)絡(luò)的,但卻可以快速掃描個人計算機�����。
多面手:Tripwire
Tripwire是一款入侵檢測和數(shù)據(jù)完整性產(chǎn)品��,它允許用戶構(gòu)建一個表現(xiàn)最優(yōu)設(shè)置的基本服務(wù)器狀態(tài)�。它并不能阻止損害事件的發(fā)生��,但它能夠?qū)⒛壳暗臓顟B(tài)與理想的狀態(tài)相比較�,以決定是否發(fā)生了任何意外的或故意的改變。如果檢測到了任何變化����,就會被降到運行障礙最少的狀態(tài)。
如果你需要控制對Linux或UNIX服務(wù)器的改變����,可以有三個選擇:開源的Tripwire、服務(wù)器版Tripwire�、企業(yè)版Tripwire。雖然這三個產(chǎn)品有一些共同點��,但卻擁有大量的不同方面�,使得這款產(chǎn)品可以滿足不同IT環(huán)境的要求���。
如開源的Tripwire對于監(jiān)視少量的服務(wù)器是合適的,因為這種情形并不需要集中化的控制和報告;服務(wù)器版Tripwire對于那些僅在Linux/UNIX/Windows平臺上要求服務(wù)器監(jiān)視并提供詳細報告和最優(yōu)化集中服務(wù)器管理的IT組織是一個理想的方案;而企業(yè)版Tripwire對于需要在Linux/UNIX/Windows服務(wù)器�����、數(shù)據(jù)庫�、網(wǎng)絡(luò)設(shè)備、桌面和目錄服務(wù)器之間安全地審核配置的IT組織而言是最佳選擇�����。
如果有需要服務(wù)器的租用與托管的敬請聯(lián)系QQ:1501281758(億恩星辰) 聯(lián)系電話:0371—63322220
本文出自:億恩科技【mszdt.com】
服務(wù)器租用/服務(wù)器托管中國五強����!虛擬主機域名注冊頂級提供商!15年品質(zhì)保障���!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機房
聯(lián)通骨干機房
0371-60135900
