歡迎來到Linux教程網
Linux教程網
Linux教程網
Linux教程網
您现在的位置: Linux教程網 >> UnixLinux >  >> Linux綜合 >> Linux資訊 >> 更多Linux

Debian GNU/Linux下的入侵檢測系統(1)

  Debian GNU/Linux下的入侵檢測系統     摘要: 今天,許多信息都是存儲在計算機系統中,因此很容易通過計算機網絡遠程訪問他們並獲取數據,無論是財政,行政,軍事,工業還是金融信息。不幸的是,這些數據很容易被一些惡意的人獲取並摧毀,因為他們不知道什麼叫道德。 關於道德方面,我們無能為力,在本文中我將談談在Debian GNU/Linux系統使用一些工具來發現和跟蹤入侵者。 介紹 當我們選擇了Linux系統之後,我們得考慮在那麼多個發行版中到底使用哪個版本,他們許多都是基於RedHat,例如Conectiva (巴西), Hispa source(西班牙), Mandrake (法國), SuSE (德國), Caldera和其他的版本都使用RPM 包管理器,而Slackware更象傳統的Unix盡量使用.tgz包,他們幾乎都是商業公司開發的,但Debian例外。 Debian提供了一個叫DPKG的包管理器幫助我們自動在Internet上查找和升級軟件,檢查信任關系,這樣使系統管理更加簡單並且可以及時的打上安全補丁。 為什麼使用Debian GNU/Linux ? Debian也有一些很重要的功能: 1) 他不包含商業意圖並且不按照市場規則運作。 2) 他有一個非常優秀的漏洞跟蹤系統,問題將在48小時內得到解決。 3) 他從一開始就是想開發一個完善和可信的操作系統。 4) 他是由全球的志願者一起開發的。 每個新的版本都對一些新的硬件體系提供支, 現在他支持Alpha, ARM, HP PA-RISC, Intel x86, Intel IA-64, Motorola 680x0, MIPS, MIPS (DEC), Power PC, IBM S/390, Sparc並且可以工作在Sun UltrASParc和Hitachi SuperH。他是Linux系統中支持硬件體系最多的平台。 在現有的Debian發行版中,有很多實時入侵檢測工具可以幫助我們檢測到惡意的連接。他有兩種類型,一個是監視整個網絡的(NIDS),另外一類是監視單個主機的(HIDS)。 主機工具 我們使用PortSentry來發現端口掃描,TripWire來檢測系統完整性和使用LogSentry做日志分析。第一個和最後一個工具都是Psionic Technologies的TriSentry套件。 端口掃描檢測 PortSentry監視我們系統的端口,當他發現一個非正常的連接請求的時候,他可以采取一些行動(一般是阻攔)。 他的主頁在http://www.psionic.com/prodUCts/portsentry.Html 同時PortSentry也支持Solaris, BSD, AIX, SCO, Digital Unix, HP-UX, and Linux系統. 在Debian中,輸入下面的命令就可以把他裝上了: apt-get install portsentry 有三種不同的模式可供選擇:基本模式,隱蔽模式和高級模式。他的配置文件在/usr/local/psionic/portsentry/portsentry.conf file 他的主要參數如下: TCP_PORTS,這裡你定義在基本模式或者隱蔽模式下需要控制的端口,作者按照不同的控制級別提供了三個端口列表,最大的端口數量是64個。 UDP_PORTS,和上面的相似,不同的只是UDP端口 ADVANCED_PORTS_TCP, ADVANCED_PORTS_UDP, 在高級模式中可能會用到高端口檢測,最大可以定義到65535,但是建議不要超過1024,以免誤報。 ADVANCED_EXCLUDE_TCP, ADVANCED_EXCLUDE_UDP,提供了一個排除列表,在高級模式中,裡面的端口將不會被監視。在這裡,你可以寫上你提供特殊服務的端口,但不要是真正的服務,例如: ident


IGNORE_FILE, 在這裡我們可以寫上需要忽略IP的文件的位置,在這裡可以找到回環地址,你同樣可以在這裡添加一個本地地址。 KILL_ROUTE,在這裡我們可以添加一個命令來阻攔惡意的主機,例如: iptables -I INPUT -s $TARGET$ -j DROP,$TARGET$指的是惡意主機. KILL_RUN_CMD, 在阻攔惡意主機之前執行的命令. SCAN_TRIGGER, 定義超過多少次攻擊才啟動報警. PORT_BANNER, 在端口被連接之後顯示的banner信息 在配置完之後,你最好使用下面的參數執行其中的一中模式:TCP是使用-tcp (基本模式), -stcp (隱蔽模式)和-atcp (高級模式);UDP就相應的改為 -udp, -sudp, -audp. 完整性檢查 可以使用TripWire進行系統完整性檢查,他的主頁在http://www.tripwire.org他的linux版本是免費的而Windows NT, Solaris, AIX and HP-UX的版本則是商業化的. 在Debian中,我們使用下面的命令安裝他: apt-get install tripwire 保存信息需要兩個密鑰: 第一個是"site key",他是用來加密策略和配置文件的,另外一個是"local key"是用來加密檢測的信息的。 一個准備好的配置文件在/etc/tripwire/twpol.txt ,你可以使用下面的命令初始化他: twadmin -m P /etc/tripwire/twpol.txt 我們使用下面的命令創建一個當前文件系統初始的數據庫: tripwire -m i 2 檢測系統完整性就使用下面的命令: tripwire -m c 使用下面的命令刪除配置文件,以免被入侵者發現了你改動了什麼文件: rm /etc/tripwire/twcfg.txt /etc/tripwire/twpol.txt 如果你需要重新創建配置文件,你可以使用下面的命令: twadmin -m p > /etc/tripwire/twpol1.txt twadmin -m f > /etc/tripwire/twcfg.txt





Copyright © Linux教程網 All Rights Reserved