Linux 的入侵检测系统?

Linux 的入侵检测系统?

我们需要在 Linux 代理服务器上设置入侵检测系统 (IDS)。请推荐一些入侵检测系统?除了 Snort 还有其他系统吗?

并且...snort 有良好的 Web 界面吗?

答案1

你的问题比较模糊。我在这里回答过一个类似的模糊问题:

组织网络架构中的防火墙、入侵防御、检测和防病毒技术的比较

SNORT 几乎是开源网络 IDS 的事实标准。维基百科页面还列出了其他的。SNORT 有多种前端。开源的前端是根据源火,拥有 SNORT 的公司,销售商业产品。

答案2

仅用于网络监控或入侵系统?文件完整性扫描器可能很有用,但需要努力维护,因为它需要在每次更新系统时更新,并且需要一些初始调整。请参阅开源 Tripwire页面来获取相关信息。

维基百科有一些链接至 IDS系统也是如此。

答案3

我使用了 OSSEC HIDS。基本上,它检查文件完整性(/etc/passwd,...)并解析日志文件(syslog、auth.log,...)。它具有可用的 Web 界面和电子邮件通知。但我想没什么特别的。

问候,

马丁

答案4

IDS 与 IPS 不同(入侵防御系统)。为什么需要 IDS,您是否计划报告攻击或构建防火墙来阻止肮脏的网络流量?

Squid 和其他代理可以配置为仅传输干净的流量...互联网上流传着大量的脏数据包,其中的大部分可以被忽略。

使用类似 BASE 或 ACID 接口的 Snort很多CPU 周期、RAM 和 SQL 空间(物理存储)。如果您处理的是生产级环境,则必须正确设置 IDS,否则它很快就会变得毫无意义。

如果您在代理服务器上运行 snort,数据库和日志不会按周进行维护,那么您的代理服务器很快就会因缺乏资源而挂起。

所以说您对 IDS 有真正的兴趣,您将需要一台根据您的流量来支持 Squid + Snort + Apache + MySQL + PHP WebGUI 的严肃服务器。

更理想的选择是设置一台专用的机器和专用的监控网卡,连接到镜像端口在你的主开关上。

祝你好运,IDS 更有趣,也更有用。

查看蜜罐计划操作系统安全评估中心

相关内容