在过去的几个月里,我的网站似乎成为了很多探测的目标。为了更好地处理这个问题,我在一台有外部暴露的机器上安装了 SNORT。一定是某些东西安装不正确,因为我看到 /var/log/messages 中有很多探测,但 snort 没有记录任何内容。
系统:CentOS 6.2(32 位)
Snort:(最新版本和规则)
从这个非常优秀的站点配置 Snort:http://nachum234.no-ip.org/security/snort/001-snort-installation-on-centos-6-2/
snort 作为守护进程运行:/usr/local/bin/snort -d -D -i bond0 -u snort -g snort -c /etc/snort.d/snort.conf -l /var/log/snort
尽管来自各个 IP 地址的登录尝试失败了数百次(或更多次),但 snort.log 文件却是空的。也许我没理解 SNORT 的用途?我希望它能记录这类信息。
答案1
只要 Snort 守护进程正在运行,通常导致此行为的问题就是以下三个之一:
- 缺少规则集,似乎不适用于此处。
- 接口配置不正确(监听内部接口,而不是外部监视端口)
- 外部接口未通过分接头连接(如果您正在监控其他主机)。
目前我最好的猜测是,可能需要以不同的方式指定守护进程的接口。除非您实际上使用的是绑定接口(您的问题中未提及),否则这将是我首先要查看的地方。