歡迎來到Linux教程網
Linux教程網
Linux教程網
Linux教程網
Linux教程網 >> Linux綜合 >> Linux資訊 >> 更多Linux >> Linux實現簡單而有效的IDS系統

Linux實現簡單而有效的IDS系統

日期:2017/2/27 9:29:19   编辑:更多Linux
  其實說起IDS我想管理員朋友們一定不陌生,不過我還是想簡單的說一下IDS的定義,這樣更有利於大家理解後面的應用,這篇文章還是基於redhat7.3的,為什麼呢?希望大家看過我的第一篇文章《淺談Linux安全》,在建立了那種系統的基礎上,我們來實現IDS吧。   IDS就是入侵監測系統的簡稱,其主要的作用,我個人理解就是能夠收集入侵的蛛絲馬跡,然後報告你,當然也不確保它的准確性,這要看軟件的分析能力了,現在有很多收費和免費的IDS應用程序,其中比較強的是snort,可能大家都知道的就是Tripwire,它也是一種入侵監測系統,不過它是監視你的文件是否被修改今天我給大家介紹一種,沒有太繁華的功能,簡單實用,能夠有效地阻止很多攻擊,能夠對非法的端口掃描做出反應,經過配置,極端一點的作法甚至能夠將掃描你的人的端口反掃描回來,而且阻斷它對你主機的所有連接。    1、理論介紹篇     言歸正傳,這個軟件就是portsentry感知攻擊的IDS應用   下載地址   FTP://194.199.20.114/linux/redhat/6.2/en/powertools/i386/i386/portsentry-0.99.1-1.i386.rpm   下載後就是安裝了不用我多說   rpm –ivh portsentry-0.99.1-1.i386.rpm     先說說portsentry有什麼厲害的功夫吧,他能做下面的事情   1、 丟棄所有使用route命令返回到主機的數據包   2、 自動更新/etc/hosts.deny來阻斷基於xinetd的連接,簡單的阻斷一台主機   3、 自動使用防火牆ipchian,ipfwadm等來阻斷連接,相當於添加一條厲害的規則,這個比較實用而且安全的   4、 日志的額外連接,他能將觀察到的掃描記錄到日志,這個功能很有用,你可以什麼都不做,但是不能不沒有日志的生成,這樣讓你有空就看看誰再搞你的寶貝服務器吧   5、 自定義的操作,可能對掃描你主機的機器做一些操作,比如反掃描,呵呵然後記錄信息,比較酷吧   說了這麼多好處,下面我們來在機器上實現一下吧,安裝完畢後,你能夠在   /usr/psionic/portsentry   下看到一些文件   ignore.csh 用於忽略的主機腳本   portsentry 執行程序   portsentry.conf 主要配置文件   portsentry.ignore 忽略的主機   portsentry.history 運行和阻斷主機才會產生,記錄詳細的阻斷信息   現在開始配置,實現我們的功能吧   vi portsentry.conf   這個文件看上去有幾個章節,現在我分別介紹一下它們的配置   其實大家一看他的配置文件基本上都有個數了,配置文件寫得很好,我在這裡就不一一翻譯了,呵呵比我E文好得多了,說幾個重要配置吧   Port Configurations   定制那些端口希望被監控,如果你有特殊的端口,加入,就能被監控,注意用逗號分割。     Advanced Stealth Scan Detection Options   監控的范圍,   ADVANCED_PORTS_TCP="1024"   ADVANCED_PORTS_UDP="1024"   表示監控的范圍在1024之下的端口,如果你希望監控如65423這樣的端口,那麼將這是數字設置大些     Configuration Files   就是配置文件位置,一般不用修改     Ignore Options   忽略的端口設置     Dropping Routes   丟棄路由方案   一般用這個可以   KILL_ROUTE="/sbin/route add -host $TARGET$ reject"   其他的可以根據操作系統來定,或者根據實際來定   也可以寫入一段iptalbes 的代碼,後面有     TCP Wrappers   這就是我說得簡單的加入hosts.deny來阻斷發起掃描的主機   KILL_HOSTS_DENY="ALL: $TARGET$ : DENY"   把原來那句關閉,上面這句打開,我們用的都是redhat哦     External Command   擴展命令,可以執行很多自定義操作,比如nmap掃描你的主機,反掃描他,後面事例中給他家說說     Port Banner Section   理論上是可以給監聽你服務的人一個警告,修改PORT_BANNER=這行,寫點嚇人的話,不過我也不知道其作用不,呵呵     設置完畢後,用portsentry –stcp來啟動,這樣能夠防止SYN等隱蔽的掃描,你可以找個機器用nmap等掃描器掃描一下,看看日志是不是記錄了?你的主機是不是被添加到/etc/hosts.deny了。     有幾點需要注意的,據說實施了portsentry後一些掃描軟件可能會掛起,汗~~~不過我覺得不像,但是確實能防止一點點,   第二,據說portsentry把你的網卡開為混雜模式,但是據我觀察網卡並沒有變為混雜模式,不過還是提醒大家,因為混雜模式可能會降低系統的反應,就要看你自己權衡了。   個人認為,服務器上實施portsentry軟件,不用作出什麼反應,只需要記錄就行了,定期的查看一下,我覺得能做的就是去掉路由啊,或者nmap掃描入侵的主機,可以這樣做,讓他自動反掃描掃描你的主機   在   External command部分   加入   KILL_RUN_CMD=”/usr/bin/nmap –O $TARGET$”>> /var/log/scanIP.log   然後可以在/var/log/scanIP.log中查看這些主機的信息。你掃描他哦,呵呵   最後記得運行哦,忘記給大家說幾種運行參數了   -tcp 基本簡單的監聽tcp   -udp 基本簡單監聽udp   -stcp 建議使用這個參數,可以監聽帶欺騙的tcp掃描,比如SYN,FIN等掃描,很強   -atcp 禁止所有portsentry.conf中指定的連接,必須手工配置合法的主機,不建議使用   -sudp 同stcp差不多,不過是udp   -adup 和atcp差不多,不過是udp




Copyright © Linux教程網 All Rights Reserved