我想为我的 Linux VPS 提供最高级别的安全性。我在网上找到了很多教程,但都没有涉及 Snort。只有像 portentry、logsentry、tripwire 等教程。
所以我开始认为 Snort 不适合 Linux 主机。我认为它只适合作为代理/中间人,在将流量传递给实际目标之前对其进行检查。
我想问一下 Snort 是否可以安装在为网络/邮件等典型服务器提供服务的 VPS 上。
Snort 是否可以与 OSSEC 冲突?我认为它不检查流量,而只检查用于入侵检测/异常的日志文件?
谢谢。
答案1
Snort 占用大量内存,这在 VPS 上可能是一个问题。它可以与 ossec 一起很好地运行 - 两者都包含在 Ossim 中,Ossim 关联来自各种来源的信息安全事件。
不过,我认为对于单个 VPS 来说,这可能有点过度了。如果您让所有软件都针对任何安全版本进行更新,拥有良好的配置设置,使用 tripwire 并监控日志,那么您就做得很好了。如果您要保护整个网络,那么我会考虑在专用机器上运行 ossim。
如果您使用的是 Apache,那么请考虑使用 mod_security 来帮助保护您托管的潜在易受攻击的脚本。最后,在安全方面要积极主动,使用 Nessus 之类的工具扫描您的机器以查找漏洞。
答案2
Snort 可以配置为 HIDS(主机入侵检测系统)。
您需要的最重要的配置是:
Home_net -> server.IP
External_net -> !$HOME_NET
Snort 可以使用适当的签名监控一些主机系统资源,但是 OSSEC 应该可以满足您的需求,因为所有东西的开销都较少。
答案3
我认为 ShoreWall 不会像 Snort 那样使用太多资源。 http://www.shorewall.net/
答案4
如果你想要为你的 VPS 配备合适的 IDS,你应该寻找 HIDS
Snort 是一个 NIDS,它是一款非常好的软件(我个人最喜欢的 IDS),但它还有其他用途,你应该实现一个主机入侵检测系统(HIDS),比如操作系统安全评估中心,不仅是一种更有效的解决方案,而且还提供了多种方法来检查主机上更有用的特定功能(USB 端口、文件监控等)。您将浪费 Snort 的所有功能和资源,OSSEC 可以以更简单的方式保护您的服务器。