科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道安全的log日志记录服务器(2)

安全的log日志记录服务器(2)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

在网上越来越多的 hacker 的出现, 越来越多的高手出现的情况下.如何才能确保自己可以保存一份完整的 log 呢?

作者:51CTO.COM 2007年10月31日

关键字: 服务器 系统日志 redhat

  • 评论
  • 分享微博
  • 分享邮件

  NIDS(入侵侦测) 入侵检测本身是一件很复杂的事情. snort 本身也提供了强大的入侵检测的功能. 这里我只做一个简单的介绍,好让大家有一个概念.如果真正实体去做一个 NIDS 的话.需要些更复杂的动作.例如设定更完善的 rules, 定时更新 snort.conf 中所定义的 rules (当新的攻击方式出现以后,要及时更新)

  首先,我们需要更改一下 /etc/snort/snort.conf 具体需要参照您自己的机器来设定.

  #设定 log 存放的地方

  config logdir: /var/log/snort

  #设定网路

  var HOME_NET 192.168.1.0/24

  var EXTERNAL_NET any

  var SMTP ?$HOME_NET

  var HTTP_SERVERS ?$HOME_NET

  var SQL_SERVERS ?$HOME_NET

  var DNS_SERVERS 192.168.1.250/32

  var RULE_PATH ./

  #设定 preprocessors

  preprocessor frag2

  preprocessor stream4: detect_scans

  preprocessor stream4_reassemblt

  preprocessor portscan: ?$HOME_NET 4 3 portscan.log

  #设定 output

  output database: log, mysql, user=root

  dbname-snort host=localhost

  #rules

  alert tcp ?$HOME_NET 7161 -> ?$EXTERNAL_NET any

  (msg: "MISC Cisco Catalyst Remote Access";

  flags: SA; reference:arachnids, 129;

  reference:cve, CVE-1999-0430;

  classtype:bad-unknow; sid:513; rev:1;)

  #设定 patch , 这些都是些附加的 rules 的文件

  include ?$RULE_PATH/bad-traffic.rules

  include ?$RULE_PATH/exploit.rules

  include ?$RULE_PATH/scan.rules

  include ?$RULE_PATH/ftp.rules

  #这些 rule 其实还有很多.您可以自己去写,也可以找人家写好的下载拿来用.

  现在让我们把 snort 跑起来∶

  snort -c /etc/snort/snort.conf -D -i eth0

  现在 snort NIDS 的模式跑起来了. 在 default 的情况下∶

  alerts 会放在 /var/log/snort/alert 中

  port-scanning 会放在 /var/log/snort/portscan.log

  当您真正跑 NIDS 的时侯,需要把 snort 以 daemon 的模式来跑. 如果您安装的是 rpm 的东西,那么 rpm 文件中已经包含了一个 snortd 的文件,并且会帮您安装在 /etc/rc.d/init.d/ 下面. 当您设定好 snort 的 configure 文件以后,只要用 chkconfig 把 snortd 打开就可以了:

  加入 snortd

  chkconfig --add snortd

  打开 snortd

  chkconfig snortd on

  或者

  chkconfig --level 3 snortd on

  这里的 level 请自行更改到您所跑的 runlevel

  您可以用 cat /etc/inittab | grep id 来看自己在哪个

  runlevel 上面.

  cat /etc/inittab | grep id

  id:5:initdefault:

  这里就是说跑在 run level 5 上面.

 

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章