网络安全 频道

Linux护卫者 Snort的IDS功能全攻略

    5.从物理上保证Linux系统的安全

    如果有人可以从物理上接触到系统,他们就能很轻松地获得root用户的访问权限:对于Solaris平台,只需在系统重启时放入安装光盘就可以更改root用户的口令;对Linux系统,启动磁盘、光盘或USB盘都可用以启动系统,并能以完全的root权限安装文件系统,从而获得root权限。绝大多数人可能不容易获得AIX安装光盘,但可启动的Linux盘则是任何人都可以根据从Internet上免费下载的代码而制作出来的;而且在很多会议上都经常分发可启动的Linux光盘。我们无法阻止人们获取免费软件,但可以把Linux和其他系统安装盘与机器分开存放。我们可以搞清与Linux有关的问题,可以禁用或从很多用户使用的机器上卸掉光驱或软驱。要采用周密的物理安全防范措施,防止对Linux系统的非授权访问。

    6.保护snort配置文件

    snort配置文件可能包括口令和其他应该受到保护的敏感信息。例如,如果使用的Snort具有构造指令,而且还使用了MySQL(./configure--with-mysql),那么snort.conf输出插件就类似于下面这样:

    outputdatabase:log,mysql,user=snortpassword=PASSWORDdbname=snort
    host=management-server.domain.local

    在snort.conf文件中,口令是以明文存储的,这是需要解决的一个缺陷。在安装了这种Snort系统后,当进程启动时会查看snort.conf。一旦Snort传感器启动了,就应当将这个文件安全地存储到其他地方(如usb存储设备)然后完整地删除这个文件或者通过加密保护这个文件。数据库访问权限也需要保护。你要区别用户权限和传感器权限,还要区别用户权限和分析工具的权限。只有管理员或DBA才具有删除权限,用于向数据库添加数据的账号只需要有向数据库写入记录的权限即可。

    7.使用SSL加密Snort 传感器的之间的通信

    Snort 传感器和管理终端之间的通信需要保护,就像保护管理员的控制台和数据存储器之间的通信一样。在图3中,箭头表示组件之间的通信链路,链路上的通信通过SSL进行保护。

    

    图3使用SSL加密Snort 传感器的之间的通信

    总之,将Snort或其他IDS安装在网络中已经加固过的系统上;但从性能方面考虑,最好将IDS/IPS部署在一个单独的系统中。

0
相关文章