Как установить систему обнаружения вторжений в Ubuntu 12.04

Question 1

В основном я ищу какую-то систему обнаружения вторжений ....

Так что я считаю, что snort является одним из них, поэтому мне нужно пошаговая настройка для установки snort & amp; какой-то инструмент мониторинга snort на основе интернета, например "отчет о фырканье"

, есть ли хорошая альтернатива для системы обнаружения вторжений? если да, то как их установить

Question 2

Вы можете взглянуть на fail2ban , который непосредственно содержится в репозиториях (так что вы можете просто «sudo apt-get install fail2ban»). Я использую его уже много лет, и он хранил множество хакеров на моем сервере, блокируя их. Fail2ban работает, анализируя файлы журналов для определенных шаблонов (он поставляется с хорошим примером конфигурации), а затем блокирует IP-адрес атакующего - например, если хакер предпринял 5 неудачных попыток войти через ssh (даже в разные учетные записи), вы можете заблокировать его IP-адрес на определенный промежуток времени (например, 30 минут). Существуют примеры для различных услуг, просто посмотрите на домашнюю страницу для получения дополнительной информации.

Редактировать: Уведомления также возможны (отправьте письмо, если что-то было обнаружено).

Question 3

Question 4

Snort - система обнаружения вторжений в сеть (NIDS). Snort может понюхать вашу сеть и предупредить вас, основываясь на его базе данных правил, если есть атака на сеть вашего компьютера. Это система с открытым исходным кодом, которая была собрана из tcpdump (инструмент анализатора linux).

Это руководство можно использовать для установки snort.

psad: обнаружение вторжений и анализ журналов с помощью iptables psad - это коллекция трех легких системных демонов (два основных демона и один вспомогательный демон), которые запускаются на компьютерах Linux и анализируют сообщения журнала iptables для обнаружения сканирования портов и других подозрительных движение. Типичное развертывание - запуск psad на брандмауэре iptables, где он имеет самый быстрый доступ к данным журнала.

Если вы используете сервер 12.04LTS, см. Как установить PSAD Intrusion Detection на сервере Ubuntu 12.04 LTS.

Источники:
http://nachum234.no-ip.org/security/snort/1-snort-installation-on-ubuntu-11-10- i386 /
http://www.cipherdyne.org/psad/index.html

Question 5

Чтобы ответить на ваш вопрос, пошаговая настройка:

http://wiki.aanval.com/wiki/Community%3aSnort_2.9.2.3_Installation_Guide_for_Ubuntu_12.04,_with_Barnyard2,_Pulledpork , _and_Aanval

Также посмотрите этот, но выше работал лучше для меня. Не ожидайте, что что-нибудь сработает в первый раз:

http://www.symmetrixtech.com/articles/016-snortinstallguide2953.pdf

Izzy · Answer 1 · 7 December 2017 в 16:35

Вы можете взглянуть на fail2ban , который непосредственно содержится в репозиториях (так что вы можете просто «sudo apt-get install fail2ban»). Я использую его уже много лет, и он хранил множество хакеров на моем сервере, блокируя их. Fail2ban работает, анализируя файлы журналов для определенных шаблонов (он поставляется с хорошим примером конфигурации), а затем блокирует IP-адрес атакующего - например, если хакер предпринял 5 неудачных попыток войти через ssh (даже в разные учетные записи), вы можете заблокировать его IP-адрес на определенный промежуток времени (например, 30 минут). Существуют примеры для различных услуг, просто посмотрите на домашнюю страницу для получения дополнительной информации.

Редактировать: Уведомления также возможны (отправьте письмо, если что-то было обнаружено).

Eliah Kagan · Answer 2 · 7 December 2017 в 16:35

Snort - система обнаружения вторжений в сеть (NIDS). Snort может понюхать вашу сеть и предупредить вас, основываясь на его базе данных правил, если есть атака на сеть вашего компьютера. Это система с открытым исходным кодом, которая была собрана из tcpdump (инструмент анализатора linux).

Это руководство можно использовать для установки snort.

psad: обнаружение вторжений и анализ журналов с помощью iptables psad - это коллекция трех легких системных демонов (два основных демона и один вспомогательный демон), которые запускаются на компьютерах Linux и анализируют сообщения журнала iptables для обнаружения сканирования портов и других подозрительных движение. Типичное развертывание - запуск psad на брандмауэре iptables, где он имеет самый быстрый доступ к данным журнала.

Если вы используете сервер 12.04LTS, см. Как установить PSAD Intrusion Detection на сервере Ubuntu 12.04 LTS.

Источники:
http://nachum234.no-ip.org/security/snort/1-snort-installation-on-ubuntu-11-10- i386 /
http://www.cipherdyne.org/psad/index.html