linux下的入侵检测工具
本文简要介绍了几种入侵检测工具在Linux,如PSAD,AppArmor,SELinuxu,等。在之前的文章中,我们介绍了入侵检测系统的介绍,我们可以先了解入侵检测系统的原理和实践。如果你只有一台电脑,你要花很多时间仔细审查系统的弱点和问题是完全可能的。也许你真的不想,但它是可能的。然而,在现实世界中,我们需要一些好的工具来帮助我们监控系统,并警告我们在哪里可能会出现问题,所以我们经常可以放松。入侵检测可能是我们不得不担心的问题。但是,有事情,两方面,幸运的是,Linux管理员有一个强大的工具来选择。最好的策略是利用分层的方法程序,老但充满活力;如Snort,iptables,AppArmor,PSAD及高级selinuxu和一些新的力量,结合功能强大的分析工具,我们可以n始终站在技术的最前沿。
在现代,一个机器上的任何用户帐户可以用来做坏事。我相信所有的重点应放在对根的保护,就像其他用户帐户是不重要的,这是在Linux和UNIX安全长期、慢性的弱点。一个简单的加载可以更换损坏的系统文件,但有数据文件做任何入侵已经造成很多伤害的潜力。事实上,传播垃圾邮件,复制敏感文件,提供虚假的音乐或电影文件和对其他操作系统发起攻击,无需访问根。
IDS新宠:PSAD
Psad是端口扫描攻击检测程序的缩写。作为一种新的工具,它可以用iptables的密切合作和Snort向我们展示所有恶意试图进入网络。这是Linux入侵检测系统的首选,它使用许多工具Snort,可结合fwsnort和iptables的日志,这意味着你甚至可以深入到应用层并且进行内容分析,它可以执行包头部门如Nmap,数据分析警告用户,甚至它们配置为自动阻止可疑的IP地址。
事实上,任何一个入侵检测系统的关键问题是捕捉和分析大量的数据。如果你不这样做,只是一味硬拼,并不能真正有效地调整IDS。我们可以从PSAD余辉和Gnuplot出口数据,这样我们就可以知道究竟是谁在攻击防火墙,以及友好的界面显示。
老而有力:鼻息
作为一个值得信赖的老人,随着年龄的增长,它变得越来越成熟。它是一个轻量级的,易于使用的工具,可以独立运行,可与PSAD和iptables。我们可以从Linux的发行版本库的安装,这应该是一个很大的进步,相比以前的源代码安装,更新规则,它也很简单,因为作为一个Snort规则更新程序和管理程序,oinkmaster也是在Linux发行库。它易于管理,虽然它有一些配置要求。开始使用它,默认的配置是不适合大多数网络系统,因为它包括了所有的规则,是不需要的。所以我们的第一件事do是删除我们不需要的所有规则,否则会破坏性能并产生一些虚假警告。
另一个重要的策略是在一个秘密的方式,即运行Snort,没有IP地址监控网络接口,一个接口,为它没有IP地址,ifconfig eth0,与我的选择运行Snort,如Snort ndash;我eth0。也可能是如果你的网络管理程序在系统中运行,它将它将帮助和显示端口没有配置,所以建议明确网络管理程序。
Snort可以收集大量的数据,因此我们需要添加基础(基本分析和安全引擎),以便于获得一个友好的可视化分析工具,该工具是基于老的酸(入侵数据库分析控制台)的。
简单方便:chkrootkit和rootkit
Rootkit检测程序和rootkit chkrootkit猎人也老的rootkit检测程序。很显然,他们是更值得信赖的工具在运行时从一个非书面的外部设备,如运行在CD或写保护的USB驱动器。我喜欢SD卡,由于开关写保护。这两个程序可以搜索已知的rooktkit,后门,和当地的漏洞利用程序,和数量有限的可疑活动可以发现。我们需要运行这些工具的原因是他们能看 /proc,PS,和文件系统上的其他一些重要的活动。虽然他们不使用网络,他们可以很快扫描个人电脑。
多方面的:Tripwire
Tripwire是一个入侵检测和数据完整性的产品,允许用户建立一个基本的服务器状态进行优化设置,它不能阻止伤害事件的发生,但它可以比较当前状态与理想状态来决定是否发生了任何意外的或故意的改变。如果任何变化被检测到,它会被减少到最小的操作障碍状态。
如果你需要控制Linux或UNIX服务器的变化,有三个选项:开源Tripwire的服务器版本企业版绊绊。虽然这三个产品有一些共同点,他们有大量的不同方面,使该产品满足不同IT环境的要求。
如用于监控服务器数量的开源Tripwire是合适的,因为这种情况不需要集中控制和报告;对于那些只在Linux / Unix和Windows平台的要求,提供一份详细的报告,服务器监控和集中服务器管理的优化是一个理想的解决方案,企业版绊绊服务器版本;在Linux / Unix和Windows服务器、数据库、网络设备、桌面和服务器目录的安全审计是IT组织的配置的最佳选择。