我正在为我的微型 VPS 网络服务器寻找精简但有效的 IDS/IDP/WAF 解决方案。
目前我已经使用 iptables 和 psad,但许多 Web 服务器扫描尝试都失败了。我使用 ngingx,但更喜欢独立于 Web 服务器的解决方案。
有什么精简而有效的方法可以保护我的小型服务器免受恶意软件机器人的持续扫描?最好是低维护 - VPS 也不太强大。
非常感谢您的提示和建议。
答案1
如果您想要保护的只是一个网络应用程序,那么尽管您说想要网络服务器独立性,ModSecurity 将是我的首选推荐。
替代方案通常包括 Snort、OSSEC、Bro、Fail2Ban 等。每种方案都有其优点和缺点。OSSEC 和 Fail2Ban 可以读取日志文件并更新防火墙规则,但对分布式僵尸网络基本上无效。它们会发现个别尝试,但许多机器人通常会一次尝试一次,每次尝试都会有很长的延迟。话虽如此,也有很多愚蠢的机器人会不断敲门。
Snort 之类的工具有点笨重,需要小心维护,以避免出现大量误报,尽管因为它只在一个盒子上而不是整个网络上,所以应该更容易一些。此外,您还必须创建自己的操作,例如使用 Fail2Ban 读取日志。
另一方面,经过精心调整的 ModSecurity 可能会比 Snort 和公司花费更少的努力为您带来更好的结果,并且它已经被设计为保护您想要保护的内容,而不是像其他产品一样成为多面手。