网络安全 频道

Linux护卫者 Snort的IDS功能全攻略

    基于snort 的IDS保护方法

    1.调节Snort规则

    调节IDS/IPS是一个需要不断进行的过程。调节IDS意味着增加或删除特征或者约束特    征,以便能对所有已知的攻击报警并且产生最少的误警。需要不断调节IDS的原因有好几个:

 大量告警可能会使得IDS管理员不知所措。在具有Internet、电子邮件、Web浏览和内部广播流量的繁忙的网络中,这些事件会触发许多告警。

 当开始分析IDS报告的告警时,就会理解snort.conf文件中的配置设置。调节并改进这些系统变量和参数能提供更好的网络告警概貌。

 新的攻击在不断出现,因此必须加入新的攻击特征。

    2.保护Root账户

    当今各主要操作系统都提供有一个或一组管理员账户。通过这些账户,我们可以对系统进行全面的控制和访问。而且,这些操作系统对这样的账户没有任何防范——如果这些账户使用不当,就会对操作系统造成破坏。在Linux平台上,管理员账户就是root账户。

    我们必须采取各种手段对Linux系统的root账户加以保护,以防非法使用。其中的主要措施是采用不易破解的口令,但也可以限制对实际root账户的使用。一种限制使用root账户的办法是采用一种叫作sudo或SUperuserDO的程序。

    sudo程序可使管理员能够把一组通常需要具有相应权限才能使用的命令交给其他用户或管理员使用,同时又不必让他们获知root用户口令。这意味着这些管理员可以被限制为只能享有完成他们的工作所需要的权限,即使其他管理员能够创建特权用户,也只能创建极少数几个,而且这些特权用户都会得到集中控制。

    这一工具也可以使全职管理员能够在不必以root用户身份登录的情况下完成所要做的工作,从而保证只在真正危急的情况下才使用root账户。即管理员可以以普通用户的身份登录并完成一些常规工作,例如读取邮件、准备报告等。在需要进行管理操作时,再通过sudo程序以root用户或其他特权用户的身份登录。由于sudo程序要求进行委托,因此使用sudo完成管理操作对保证系统安全还有另外两大好处:

 可以防止出现管理员以root身份登录之后又忘记自己是root身份的错误。这种错误可能给系统造成破坏。

 把执行某些任务的权限委托给特定用户可以保证恰当地使用各种用户身份,只在进行管理操作时才使用特权用户。日志文件中将会记录下哪个用户做了哪些操作,而不是仅简单地记录使用了root账户。

    3.减少snort工作计算机所运行的服务的数量

    Internet服务为Linux系统提供了统一而一致的具体功能。有些服务是系统完成基本功能所必须的,而另外一些服务则是因为原来曾有某些应用(但现在已经不再用了)或者是按照默认配置而打开的。一般地,Linux版本使用是从/etc/xinetd.conf下运行的(例外:有些老Linux版本使用/etc/inetd.conf)。很多Linux版本都默认运行某些服务,以便为Linux服务器提供某些已有的基本功能。但这是与基本安全要求相悖的,因此取消不需要的服务对加固安全是至关重要的。其实所运行的服务越少,能使攻击者有机可乘的潜在漏洞就越少。其中finger、discard、chargen、daytime、time、talkd等服务都是历史上遗留下来的服务,还有很多其他服务则是属于特定厂商专用的服务。

    在确定关于某个系统的安全职责或安装新系统时,一定要检查系统所运行的服务,并

    禁用那些不必要的服务。有一点需要注意:在真正禁用之前,应针对所要做的更改做些测试,并通过监控手段确认调整后的系统仍能提供业务运营所需要的功能。

    4.打补丁

    很多系统管理员都熟悉“打补丁”这个名词。打补丁是非常重要但却最经常被忽视的安全工作之一。虽然在设计Linux时就考虑到了安全问题,但关于Linux的新安全漏洞还是不断被发现,而且对软件所做的新的更改也可能要求打补丁。通过不断打补丁并使系统保持最新,我们可以保证及时采用了厂商所做的对安全漏洞的修补,并且实现功能的更新。只需简单地注册到某个安全列表,就可以看到Internet上有很多关于漏洞的资料。所有机构都必须制定有关于打补丁的规程,要明确规定对重要补丁程序应做怎样的操作。Linux厂商都提供针对其产品的补丁,有些厂商则通常根据补丁程序的性质(安全补丁通常是免费的,而升级程序一般要付费)或用户是否已交纳服务费而决定是否免费提供补丁程序。下面列出的是主要的Linux 和Linux厂商及其提供补丁程序的网站:

    SUSE(Linux)http://portal.suse.com/psdb/index.html

    RedHat(Linux)https://www.redhat.com/security/

    OpenBSD(BSD)http://www.openbsd.org/errata.html

    FreeBSD(BSD)http://www.freebsd.org/security/

    Sun(Solaris)http://sunsolve.sun.com/pub-cgi/show.pl?target=patchpage

0
相关文章