在能自如地构建自己的规则集以前,有许多脚本能够让您入门,只要您信任他们的作者即可。最完整的脚本之一是 gShield(请参阅参考资料)。您能够调整其注释良好且相当简单的配置文档以配置信息包过滤器规则最常规的格式。
入侵检测 ― 系统日志(syslog)
入侵检测通常被那些相信自己安置的入侵预防设备的系统管理员所忽略。不幸的是,这意味着一旦黑客找到能够入侵的细微漏洞,在注意到他们的存在以前,系统可能很长一段时间都处于他们的控制之下。
入侵检测最基本的形式是注意系统日志。这些文档通常出现在 /var/log 目录中,但是实际的文档名会因分发版和配置而有所不同。
# less /var/log/messages
Feb 17 21:21:38 [kernel] Vendor: SONY Model: CD-RW CRX140E Rev: 1.0n
Feb 17 21:21:39 [kernel] eth0: generic NE2100 found at 0xe800, Version 0x031243,
DMA 3 (autodetected), IRQ 11 (autodetected).
Feb 17 21:21:39 [kernel] ne.c:v1.10 9/23/94 Donald Becker (becker@scyld.com)
Feb 17 21:22:11 [kernel] NVRM: AGPGART: VIA MVP3 chipset
Feb 17 21:22:11 [kernel] NVRM: AGPGART: allocated 16 pages
Feb 17 22:20:05 [PAM_pwdb] authentication failure; (uid=1000)
-> root for su service
Feb 17 22:20:06 [su] pam_authenticate: Authentication failure
Feb 17 22:20:06 [su] - pts/3 chouser-root
要理解任何这些消息可能需要进行一些实践,但大多数重要消息都相当清楚。例如,在日志的末尾,我们能够看到用户“chouser”试图使用 su 成为 root 用户,但失败了。
| 入侵检测 ― tripwire |
有许多可用的包能够对整个文档系统进行“快照”,然后将他和较早的快照比较以了解什么发生了更改。若能明确地定义哪些文档作为系统正常操作的一部分应该发生更改,则这些包能很快提醒黑客的存在及其活动。
Tripwire 是最流行的入侵检测包之一(请参阅本教程末尾的参考资料以获取链接)。安装 tripwire 后,必须定制他的配置文档以使他知道哪些文档应该更改而哪些不应更改。还需要告诉他如何向您发送有关发生什么更改的报告,连同他应隔多久运行一次(通常每天一次)。
入侵检测 ― portsentry
PortSentry 包来自 Psionic Technologies,他实际上有点介于入侵预防和检测之间。该包监控网络连接,并且假如他看到任何他认为“可疑”的和系统连接的尝试,他会把这一事件编入日志然后阻止他再次发生。该包也能够在本教程末尾的参考资料中找到。
当安装了该包并运行他时,将能够在 syslog 中看到任何尝试的连接,并看到 PortSentry 如何对他们做出反应:
# tail /var/log/messages
Oct 15 00:21:24 mycroft portsentry[603]: attackalert:
SYN/Normal scan from host: 302.174.40.34/302.174.40.34 to TCP port: 111
Oct 15 00:21:24 mycroft portsentry[603]: attackalert:
Host 302.174.40.34 has been blocked via wrappers with string:
"ALL: 302.174.40.34"
Oct 15 00:21:24 mycroft portsentry[603]: attackalert:
Host 302.174.40.34 has been blocked via dropped route using command:
"/sbin/route add -host 302.174.40.34 reject"
Oct 15 00:21:24 mycroft portsentry[603]: attackalert:
SYN/Normal scan from host: 302.174.40.34/302.174.40.34 to TCP port: 111
Oct 15 00:21:24 mycroft portsentry[603]: attackalert:
Host: 302.174.40.34/302.174.40.34 is already blocked Ignoring
Oct 15 00:33:59 mycroft portsentry[603]: attackalert:
SYN/Normal scan from host: 302.106.103.19/302.106.103.19 to TCP port: 111
Oct 15 00:33:59 mycroft portsentry[603]: attackalert:
Host 302.106.103.19 has been blocked via wrappers with string:
"ALL: 302.106.103.19"
Oct 15 00:33:59 mycroft portsentry[603]: attackalert:
Host 302.106.103.19 has been blocked via dropped route using command:
"/sbin/route add -host 302.106.103.19 reject"
常规指南:保持软件为最新 因为任何软件都可能有安全性漏洞,所以重要的是:只要获得包的安全性修正包就立即安装。这是安全专家最常提出的一条建议,也是管理员新手们最常忽略的一条建议。不要吃过苦头才吸取教训 ― 机器因为您忽视了使补丁程式保持最新而被人通过存在数年之久的后门侵入。
对于开放源码和封闭源码哪个更安全的争论很激烈。迄今最好的结论是:管理正确时,两者都足够安全,这里的管理包括保持安全性补丁程式为最新!
有几个网站能够帮助保持软件为最新,并有助于提防已知的威胁。包括特别注意安全性的 CERT 和 SecurityFocus 的 BugTraq 列表,连同通常的软件更新站点(象freshmeat.net)和分发版的主页。我们还将在参考资料中重复这些 URL,但是安全性真的很重要 ― 假如还不熟悉这些站点的话,建议您现在就花几分钟访问头两个站点。
常规指南:高质量密码
听起来可能很普通,为自己选择高质量密码,并且“鼓励”(也就是命令)用户也这样做,以形成良好的安全性的基石。记住要避免常见的词和名字,特别是和自己有关的任何事物,如朋友的名字、工作地点或宠物的名字。还要避免可猜测的数字,如生日或周年纪念日。相反要尝试使用字母、数字和标点的随机组合。
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
