Linux實現簡單而有效的IDS系統

　　其實說起IDS我想管理員朋友們一定不陌生，不過我還是想簡單的說一下IDS的定義，這樣更有利於大家理解後面的應用，這篇文章還是基於redhat7.3的，為什麼呢？希望大家看過我的第一篇文章《淺談Linux安全》，在建立了那種系統的基礎上，我們來實現IDS吧。 　　IDS就是入侵監測系統的簡稱，其主要的作用，我個人理解就是能夠收集入侵的蛛絲馬跡，然後報告你，當然也不確保它的准確性，這要看軟件的分析能力了，現在有很多收費和免費的IDS應用程序，其中比較強的是snort，可能大家都知道的就是Tripwire，它也是一種入侵監測系統，不過它是監視你的文件是否被修改今天我給大家介紹一種，沒有太繁華的功能，簡單實用，能夠有效地阻止很多攻擊，能夠對非法的端口掃描做出反應，經過配置，極端一點的作法甚至能夠將掃描你的人的端口反掃描回來，而且阻斷它對你主機的所有連接。　　　　1、理論介紹篇 　　　　言歸正傳，這個軟件就是portsentry感知攻擊的IDS應用 　　下載地址 　　FTP://194.199.20.114/linux/redhat/6.2/en/powertools/i386/i386/portsentry-0.99.1-1.i386.rpm 　　下載後就是安裝了不用我多說 　　rpm –ivh portsentry-0.99.1-1.i386.rpm 　　　　先說說portsentry有什麼厲害的功夫吧，他能做下面的事情 　　1、 丟棄所有使用route命令返回到主機的數據包 　　2、 自動更新/etc/hosts.deny來阻斷基於xinetd的連接，簡單的阻斷一台主機 　　3、 自動使用防火牆ipchian,ipfwadm等來阻斷連接，相當於添加一條厲害的規則，這個比較實用而且安全的 　　4、 日志的額外連接，他能將觀察到的掃描記錄到日志，這個功能很有用，你可以什麼都不做，但是不能不沒有日志的生成，這樣讓你有空就看看誰再搞你的寶貝服務器吧 　　5、 自定義的操作，可能對掃描你主機的機器做一些操作，比如反掃描，呵呵然後記錄信息，比較酷吧 　　說了這麼多好處，下面我們來在機器上實現一下吧，安裝完畢後，你能夠在 　　/usr/psionic/portsentry 　　下看到一些文件 　　ignore.csh 用於忽略的主機腳本 　　portsentry 執行程序 　　portsentry.conf 主要配置文件 　　portsentry.ignore 忽略的主機 　　portsentry.history 運行和阻斷主機才會產生，記錄詳細的阻斷信息 　　現在開始配置，實現我們的功能吧 　　vi portsentry.conf 　　這個文件看上去有幾個章節，現在我分別介紹一下它們的配置 　　其實大家一看他的配置文件基本上都有個數了，配置文件寫得很好，我在這裡就不一一翻譯了，呵呵比我E文好得多了，說幾個重要配置吧 　　Port Configurations 　　定制那些端口希望被監控，如果你有特殊的端口，加入，就能被監控，注意用逗號分割。 　　　　Advanced Stealth Scan Detection Options 　　監控的范圍， 　　ADVANCED_PORTS_TCP="1024" 　　ADVANCED_PORTS_UDP="1024" 　　表示監控的范圍在1024之下的端口，如果你希望監控如65423這樣的端口，那麼將這是數字設置大些 　　　　Configuration Files 　　就是配置文件位置，一般不用修改 　　　　Ignore Options 　　忽略的端口設置 　　　　Dropping Routes 　　丟棄路由方案 　　一般用這個可以 　　KILL_ROUTE="/sbin/route add -host $TARGET$ reject" 　　其他的可以根據操作系統來定，或者根據實際來定 　　也可以寫入一段iptalbes 的代碼，後面有 　　　　TCP Wrappers 　　這就是我說得簡單的加入hosts.deny來阻斷發起掃描的主機 　　KILL_HOSTS_DENY="ALL: $TARGET$ : DENY" 　　把原來那句關閉，上面這句打開，我們用的都是redhat哦 　　　　External Command 　　擴展命令，可以執行很多自定義操作，比如nmap掃描你的主機，反掃描他，後面事例中給他家說說 　　　　Port Banner Section 　　理論上是可以給監聽你服務的人一個警告，修改PORT_BANNER=這行，寫點嚇人的話，不過我也不知道其作用不，呵呵 　　　　設置完畢後，用portsentry –stcp來啟動，這樣能夠防止SYN等隱蔽的掃描，你可以找個機器用nmap等掃描器掃描一下，看看日志是不是記錄了？你的主機是不是被添加到/etc/hosts.deny了。 　　　　有幾點需要注意的，據說實施了portsentry後一些掃描軟件可能會掛起，汗~~~不過我覺得不像，但是確實能防止一點點， 　　第二，據說portsentry把你的網卡開為混雜模式，但是據我觀察網卡並沒有變為混雜模式，不過還是提醒大家，因為混雜模式可能會降低系統的反應，就要看你自己權衡了。 　　個人認為，服務器上實施portsentry軟件，不用作出什麼反應，只需要記錄就行了，定期的查看一下，我覺得能做的就是去掉路由啊，或者nmap掃描入侵的主機，可以這樣做，讓他自動反掃描掃描你的主機 　　在 　　External command部分 　　加入 　　KILL_RUN_CMD=”/usr/bin/nmap –O $TARGET$”>> /var/log/scanIP.log 　　然後可以在/var/log/scanIP.log中查看這些主機的信息。你掃描他哦，呵呵 　　最後記得運行哦，忘記給大家說幾種運行參數了 　　-tcp 基本簡單的監聽tcp 　　-udp 基本簡單監聽udp 　　-stcp 建議使用這個參數，可以監聽帶欺騙的tcp掃描，比如SYN，FIN等掃描，很強 　　-atcp 禁止所有portsentry.conf中指定的連接，必須手工配置合法的主機，不建議使用 　　-sudp 同stcp差不多，不過是udp 　　-adup 和atcp差不多，不過是udp