Internet上的服务器一般都会被安置在防火墙的DMZ(Demilitarized Zone)区,受到防火墙的保护。这在一定程度可以防止具有已知非法特征的危险连接和恶意攻击,但是却防止不了合法用户的非法访问。什么时候会出现合法用户的非法访问呢?举例说明,比如,合法用户的机器被他人控制,成为了黑客的攻击跳板,或者是合法用户想做一些别有用心的探测等。除此之外,有些攻击者还会用端口扫描程序扫描服务器的所有端口,以收集有用的信息(比如,哪些端口是打开的?哪些是关闭的? )。服务器端口被扫描往往是入侵的前奏。防火墙的脚本大都是基于规则的静态表示,对于网络上动态的探测就显得有点束手无策。因此,现在正在形成一个新的安全学科领域,称为“入侵检测”。
主流的入侵检测工具软件有CHKWTMP、TCPLogd、Shadow、Snon、MoM 等。其中,MoM 比较复杂,功能也很强劲,支持分布式的入侵检测。本文重点介绍简单实用的PortSentry。PortSentry是入侵检测工具中配置最简单、效果最直接的工具之一。PortSentry是Abacus工程的一个组成部分。Abacus工程的目标是建立一个基于主机的网络入侵检测系统,可以从http://www.psonic.com的到关于Abacus工程更为详细的信息。它可以实时检测几乎所有类型的网络扫描,并对扫描行为做出反应。一旦发现可疑的行为,PortSentry可以采取如下一些特定措施来加强防范:
可以把启动命令加到“/etc/rc.d/rc.local”脚本文件中,果想让它和其它后台进程一样可以随时启动、停止并查看进程状态, 可以去这样当重新启动计算机的时候PortSentry就会自动运行。如果想让它和其它后台进程一样可以随时启动、停止并查看进程状态,可以去http://linux.cudeso.be/linuxdoc/portsentry.php下载一个后台管理脚本,把该脚本放在/etc/rc.d/下对应的运行级别目录中即可。
|
郑重声明:资讯 【Linux下IDS的配置- 歆语轩网络技术- 51CTO技术博客】由 发布,版权归原作者及其所在单位,其原创性以及文中陈述文字和内容未经(企业库qiyeku.com)证实,请读者仅作参考,并请自行核实相关内容。若本文有侵犯到您的版权, 请你提供相关证明及申请并与我们联系(qiyeku # qq.com)或【在线投诉】,我们审核后将会尽快处理。
—— 相关资讯 ——
