如何在CentOS上配置基于主机的入侵检测系统
为ISSRealSecure的部署图,RealSecure是一种混合型的入侵检测系统,提供基于网络和基于主机的实时入侵检测。
其控制台运行在Windows2000上。
RealSecure的传感器是自治的,能被许多控制台控制。
各部分的功能如下:(1)ReaISecure控制台:对多台网络传感器和服务器代理进行管理;
对被管理传感器进行远程的配置和控制;
各个监控器发现的安全事件实时地报告控制台。
(2)NetworkSensor(网络引擎):对网络进行监听并自动对可疑行为进行响应,最大程度保护网络安全;
运行在特定的主机上,监听并解析所有的网络信息,及时发现具有攻击特征的信息包;
检测本地网段,查找每一数据包内隐藏的恶意入侵,对发现的入侵做出及时的响应。
当检测到攻击时,网络引擎能即刻做出响应,进行告警/通知(向控制台告警、向安全管理员发E-mail、SNMPtrap、查看实时会话和通报其他控制台),记录现场(记录事件日志及整个会话),采取安全响应行动(终止入侵连接、调整网络设备配置,如防火墙、执行特定的用户响应程序)。
(3)ServerSensor(服务器代理,安装在各个服务器上):对主机的核心级事件、系统日志以及网络活动实现实时入侵检测;
具有包拦截、智能报警以及阻塞通信的能力,能够在入侵到达操作系统或应用之前主动阻止入侵;
自动重新配置网络引擎和选择防火墙阻止黑客的进一步攻击。
centos下的snort如何在检测到各种攻击,并且将预警显示在base上,如端口扫描,arp欺骗,DDOS攻击等。
snort是一个强大的轻量级的网络入侵检测系统。它具有实时数据流量分析和日志IP网络数据包的能力,能够进行协议分析,对内容进行搜索/匹配。它能够检测各种不同的攻击方式,对攻击进行实时报警。此外,snort具有很好的扩展性和可移植性。本文将讲述如何开发snort规则。
1.基础
snort使用一种简单的规则描述语言,这种描述语言易于扩展,功能也比较强大。下面是一些最基本的东西:
snort的每条规则必须在一行中,它的规则解释器无法对跨行的规则进行解析。注意:由于排版的原因本文的例子有的分为两行。
snort的每条规则都可以分成逻辑上的两个部分:规则头和规则选项。规则头包括:规则行为(rule's action)、协议(protocol)、源/目的IP地址、子网掩码以及源/目的端口。规则选项包含报警信息和异常包的信息(特征码,signature),使用这些特征码来决定是否采取规则规定的行动。
这是一个例子:
alert tcp any any - 192.168.1.0/24 111(content:"|00 01 86 a5|";msg:"mountd access";)
表1.一条简单的snort规则
从开头到最左边的括号属于规则头部分,括号内的部分属于规则选项。规则选项中冒号前面的词叫做选项关键词(option keywords)。注意对于每条规则来说规则选项不是必需的,它们是为了更加详细地定义应该收集或者报警的数据包。只有匹配所有选项的数据包,snort才会执行其规则行为。如果许多选项组合在一起,它们之间是逻辑与的关系。让我们从规则头开始。
centos 6怎么进入网络设置
安装过程中设置网络的方法
1
在安装过程中,到了设置主机名的界面,在左下方即有网络配置。如图。
点击进入。
2
进入网络连接后,我们点击:System eth0,再点击:编辑。如图。
3
然后先打勾:自动连接,再点击设置IPV4,如图。
4
在方法处:将自动更改为手动,如图。
5
然后,点击添加地址,如图。
6
1、在地址栏处输入IP地址。
2、子网掩码默认是24,已经是对的了,不过你也可以输入:255.255.255.0,或根据你的子网来更改。
3、网关处输入你的网关,一般人的都是路由器的IP地址。
4、在DNS服务器后面,输入你的DNS,如果有多个DNS,请用逗号“,”分隔。
如图,最后就一路确定关闭就可以了。
END
安装好系统后的命令界面设置网络IP地址方法
1
很多时候,Centos系统都是使用命令来管理的,如果当时安装系统时没有设置IP地址的话,那就只能在命令行设置了。当然对于高手来说,easy!但对于小白来说,头都大了,呵呵!下面简单说下我的操作吧
首先登陆帐户,用命令查看一下IP配置:ifconfig,结果如图。
2
没有查到信息,那是正常的,因为你没设置嘛!那接下来正常是用VI命令编辑网络配置文件了,命令:vi /etc/sysconfig/network-scripts/ifcfg-eht0
在这里的ETH0,指的第一个网卡接口,如果你的电脑(服务器有多个,请区分)
3
进入VI编辑模式下,里面是空的,在左下角有提示是新(增)文件。如图。
你就可以按格式编写内容了!
编写完成后:
1、按“ESC”,返回VI命令。
2、输入:“:X”保存退出。
就可以了。
4
但是,很多时候,较难记住里面文件的内容,且在输入时容易输错,所以,在此,我给小白们一个建议方法:
我们先设置一个临时IP,即重启后丢失的那种,命令是: ifconfig eth0 192.168.1.103(请根据你的实际情况输入),如图。就完成了。
5
这时,我们先来查看网络IP配置情况,命令是:ifconfig,如图。临时IP设置成功了。
6
当然,我们也可以用最常用的ping来测试网络是否连通,如图。网络也是通的了。
7
网络连通后,你就懂了吧,呵呵,就可以用其他工具登陆来设置了,如putty、SecureCRT及WINSCP等等了,最起码可以实现复制粘贴了,而WINSCP更方便,直接如WINDOWS一样操作。如图是putty。
以下解说一下网络配置文件内容:
DEVICE=eth0
TYPE=Etherne
tUUID=58d64342-6bca-4156-8d4b-3bb092190644
ONBOOT=yes
NM_CONTROLLED=yes
BOOTPROTO=none
HWADDR=00:15:5D:01:44:11
IPADDR=192.168.1.103
PREFIX=24
GATEWAY=192.168.1.251
DNS1=202.96.128.86
DNS2=8.8.8.8
DEFROUTE=yes
IPV4_FAILURE_FATAL=yes
IPV6INIT=no
NAME="System eth0"
解说如下:
1、网卡对应的设备别名,如ifcfg-eth0的文件中它为eth02、网络类型:以太网
UUID含义是通用唯一识别码 (Universally Unique Identifier),在此可以忽略
3、ONBOOT=自动加载
NM_CONTROLLED及BOOTPROTO在此可以忽略
4、HWADDR=00:15:5D:01:44:11 网卡MAC地址(这个是我的,你别抄哦)
5、IPADDR=192.168.1.103 网络ip地址
6、PREFIX=24 子网掩码24位
7、GATEWAY=192.168.1.251 网关地址8、DNS1=10.203.104.41 主DNS地址
9、DNS1=10.203.104.41 备用DNS地址
后面的忽略,至此就完成了命令行的设置IP地址。终于苦逼完了!!!
END
安装好系统后的桌面图形界面设置网络IP地址
小白们命令行设置网络,相对是困难了些,如果你的Centos可以启动到图形界面,那就简单得多了,呵呵。
进入桌面后,点击:系统-首选项-网络连接,如图。
接下来的,就跟在安装系统过程中是一样的了。
System eth0,再点击:编辑。如图。
然后先打勾:自动连接,再点击设置IPV4,如图。
在方法处:将自动更改为手动,如图。
然后,点击添加
1、在地址栏处输入IP地址。
2、子网掩码输入:255.255.255.0,或根据你的子网来设置。
3、网关处输入你的网关,一般人的都是路由器的IP地址。
4、在DNS服务器后面,输入你的DNS,如果有多个DNS,请用逗号“,”分隔。
如图,最后就一路确定关闭就可以了!
恭喜你,去折腾吧
阿里云centos 被门罗币病毒入侵了,netstat -anp找不到进程号,如何结束进程,但不能重启服务器
ps aux看进程号,根据进程号找到病毒文件位置,先不要删除,先看下crontab -e,是否有异常任务,再看下自己家目录下是否有异常文件或者改动,还有就是开机启动文件是否有写过任务。。。。如果你不是很懂linux系统的话,建议备份数据重装吧(小心伪装成数据文件)。因为删除起来确实很麻烦,我删了一下午才搞定
如何在CentOS上配置基于主机的入侵检测系统(IDS)的教程
所有系统管理员想要在他们生产服务器上首先要部署的安全手段之一,就是检测文件篡改的机制——不仅仅是文件内容,而且也包括它们的属性。
AIDE (“高级入侵检测环境”的简称)是一个开源的基于主机的入侵检测系统。AIDE通过检查大量文件属性的不一致性来检查系统二进制文件和基本配置文件的完整性,这些文件属性包括权限、文件类型、索引节点、链接数、链接名、用户、组、文件大小、块计数、修改时间、添加时间、创建时间、acl、SELinux安全上下文、xattrs,以及md5/sha校验值在内的各种特征。
AIDE通过扫描一台(未被篡改)的Linux服务器的文件系统来构建文件属性数据库,以后将服务器文件属性与数据库中的进行校对,然后在服务器运行时对被修改的索引了的文件发出警告。出于这个原因,AIDE必须在系统更新后或其配置文件进行合法修改后重新对受保护的文件做索引。
对于某些客户,他们可能会根据他们的安全策略在他们的服务器上强制安装某种入侵检测系统。但是,不管客户是否要求,系统管理员都应该部署一个入侵检测系统,这通常是一个很好的做法。
在 CentOS或RHEL 上安装AIDE
AIDE的初始安装(同时是首次运行)最好是在系统刚安装完后,并且没有任何服务暴露在互联网甚至局域网时。在这个早期阶段,我们可以将来自外部的一切闯入和破坏风险降到最低限度。事实上,这也是确保系统在AIDE构建其初始数据库时保持干净的唯一途径。(LCTT 译注:当然,如果你的安装源本身就存在安全隐患,则无法建立可信的数据记录)
出于上面的原因,在安装完系统后,我们可以执行下面的命令安装AIDE:
# yum install aide
我们需要将我们的机器从网络断开,并实施下面所述的一些基本配置任务。
配置AIDE
默认配置文件是/etc/aide.conf,该文件介绍了几个示例保护规则(如FIPSR,NORMAL,DIR,DATAONLY),各个规则后面跟着一个等号以及要检查的文件属性列表,或者某些预定义的规则(由+分隔)。你也可以使用此种格式自定义规则。
FIPSR = p+i+n+u+g+s+m+c+acl+selinux+xattrs+sha256NORMAL = FIPSR+sha512
例如,上面的例子说明,NORMAL规则将检查下列属性的不一致性:权限(p)、索引节点(i)、链接数(n)、用户(u)、组(g)、大小(s)、修改时间(m)、创建时间(c)、ACL(acl)、SELinux(selinux)、xattrs(xattr)、SHA256/SHA512校验和(sha256和sha512)。
定义的规则可灵活地用于不同的目录和文件(用正则表达式表示)。
条目之前的感叹号(!)告诉AIDE忽略子目录(或目录中的文件),对于这些可以另外定义规则。
在上面的例子中,PERMS是用于/etc机器子目录和文件的默认规则。然而,对于/etc中的备份文件(如/etc/.*~)则不应用任何规则,也没有规则用于/etc/mtab文件。对于/etc中的其它一些选定的子目录或文件,使用NORMAL规则替代默认规则PERMS。
定义并应用正确的规则到系统中正确的位置,是使用AIDE最难的一部分,但作一个好的判断是一个良好的开始。作为首要的一条规则,不要检查不必要的属性。例如,检查/var/log或/var/spool里头的文件的修改时间将导致大量误报,因为许多的应用程序和守护进程经常会写入内容到该位置,而这些内容都没有问题。此外,检查多个校验值可能会加强安全性,但随之而来的是AIDE的运行时间的增加。
可选的,如果你使用MAILTO变量指定电子邮件地址,就可以将检查结果发送到你的邮箱。将下面这一行放到/etc/aide.conf中的任何位置即可。
MAILTO=root@localhost
首次运行AIDE
运行以下命令来初始化AIDE数据库:
# aide --init
根据/etc/aide.conf生成的/var/lib/aide/aide.db.new.gz文件需要被重命名为/var/lib/aide/aide.db.gz,以便AIDE能读取它:
# mv /var/lib/aide/aide.db.new.gz /var/lib/aide.db.gz
现在,是时候来将我们的系统与数据库进行第一次校对了。任务很简单,只需运行:
# aide
在没有选项时,AIDE假定使用了--check选项。
如果在数据库创建后没有对系统做过任何修改,AIDE将会以OK信息来结束本次校对。
生产环境中管理AIDE
在构建了一个初始AIDE数据库后,作为不断进行的系统管理活动,你常常需要因为某些合法的理由更新受保护的服务器。每次服务器更新后,你必须重新构建AIDE数据库,以更新数据库内容。要完成该任务,请执行以下命令:
# aide --update
要使用AIDE保护生产系统,可能最好通过任务计划调用AIDE来周期性检查不一致性。例如,要让AIDE每天运行一次,并将结果发送到邮箱:
# crontab -e
0 0 * * * /usr/sbin/aide --check | /usr/bin/mail -s "AIDE run for $HOSTNAME" your@email.com
测试AIDE检查文件篡改
下面的测试环境将演示AIDE是如何来检查文件的完整性的。
测试环境 1
让我们添加一个新文件(如/etc/fake)。
# cat /dev/null /etc/fake
测试环境 2
让我们修改文件权限,然后看看它是否被检测到。
# chmod 644 /etc/aide.conf
测试环境 3
最后,让我们修改文件内容(如,添加一个注释行到/etc/aide.conf)。
echo "#This is a comment" /etc/aide.conf
上面的截图中,第一栏显示了文件的属性,第二栏是AIDE数据库中的值,而第三栏是更新后的值。第三栏中空白部分表示该属性没有改动(如本例中的ACL)。
结尾
如果你曾经发现你自己有很好的理由确信系统被入侵了,但是第一眼又不能确定到底哪些东西被改动了,那么像AIDE这样一个基于主机的入侵检测系统就会很有帮助了,因为它可以帮助你很快识别出哪些东西被改动过,而不是通过猜测来浪费宝贵的时间。谢谢阅读,希望能帮到大家,请继续关注,我们会努力分享更多优秀的文章。
防止ip入侵服务器
由于工作需要我就自己写了一个简单的防止IP攻击的脚本,可以防止linux虚拟主机一些小方面的IP攻击系统是基于RHEL的centos,包括3,4,5三个版本,当然自己也初学shell,中间肯定用了很多笨的办法,效果也不一定怎么样,请大家给点意见注意:这个脚本是根据apache服务器的server-status和系统的dmesg分析结果进行防范的,所以非apache用户和没有开启server-status的朋友没法使用可以在服务器的crontab里设定每一分钟运行一次脚本, 复制下面的脚本到autoblock.sh,root用户下# chmod u+x autoblock.shQUOTE:#!/bin/bash# author hao32# basic settingecho 1 /proc/sys/net/ipv4/tcp_syncookies# find server-status namess_name="/usr/local/autoblock"if [ -e $ss_name/ss_name ];thenss_n=`cat $ss_name/ss_name`elsemkdir /usr/local/autoblock /dev/null 21cat `locate httpd.conf|grep -E "httpd/conf/httpd.conf$|apache_ssl/conf/httpd.conf$"`\|grep "n /server-status"|cut -d/ -f2|cut -d\ -f1 $ss_name/ss_namess_n=`cat $ss_name/ss_name`fi# block setting# 设定排除的IP地址ip_exclude="192.168.1.*|60.195.249.*|222.76.212.*|218.241.156.*|58.215.87.*|218.107.216.110"ip_amou=25ss_url=" http://127.0.0.1/$ss_n?notable "ss_tmp="/tmp/server-status"poss_ip="/tmp/poss_ip"real_ip="/tmp/real_ip"# block start...if [ -e "$poss_ip" ];thenecho "" $poss_ipfiif [ -e "$real_ip" ];thenecho "" $real_ipfi# analyse demsgdmesg |grep "short"|awk '{if($4!="From"){print $4} else {print $5}}'|awk -F: '{print $1}'|sort|uniq$poss_ipwget -q -O "$ss_tmp" "$ss_url"grep " " $ss_tmp|grep -vE $ip_exclude|awk '{print $1}'|sed 's/ //g'|sort|uniq -c\|awk '{if($1'$ip_amou') print $2}'$poss_ip#iptables -nvL|grep "DROP "|awk '{print $8}'|sort|uniq|sed 's/0\/24/*/g'$rule_iprule_ip=`iptables -nvL|grep "DROP "|awk '{print $8}'|sort|uniq|sed 's/0\/24/*/g'|xargs|sed 's/\ /|/g'`if [ -z $rule_ip ];thenfor i in `cat $poss_ip`do/sbin/iptables -I INPUT -p all -s $i -j DROPdoneelsecat $poss_ip|grep -vE "$rule_ip" $real_ipfor i in `cat $real_ip`do/sbin/iptables -I INPUT -p all -s $i -j DROPdonefi
centos 黑客入侵 怎么办
黑客可以使用任何系统入侵电脑,常用系统有windows、linux内核的各种发行版本,例如ubuntu、centos等。 黑客入侵常见方法: 方法一: 1、发送远程登陆木马病毒,用户触发。 2、黑客登陆电脑。 方法二: 1、利用外网进行PING。 2、使用系统已知漏...