当前位置：首页 » 专业资讯

开发技术指南» 文章正文

    引言： 这篇文章主要是关于适用于Linux的几种基于主机的入侵检测系统。

 

 

Linux入侵检测

　　这篇文章主要是关于适用于linux的几种基于主机的入侵检测系统。特别的，我们将会覆盖一些怎么安装这些软件包的要素，已经它们的用处与什么时候能够用到这些东西。 【相关文章:硬盘、分区引导和操作系统加载程序】

【扩展阅读:Unix/Linux下的“魔法兔仔”, 】

　　 【扩展信息:UNIX痛恨者手册】

　　系统安全101

　　

　　本文将为大家展示一些基础的系统安全知识。特别的，我假设很多常见的安全措施已经被用来抵抗来自internet对主机的入侵。这些安全措施主要是：

　　

　　防火墙，确定了系统的来自internet的用户对哪些tcp或者udp端口有访问的权限。例如：我们通过一些很简单的web server防火墙的规则设置，就可以确定这台机器只有用来提供http服务的80端口向用户开放。

　　

　　系统是不需要没有用处的守护进程的。例如：一个web服务器一般只需要一个正在运行的进程来服务web页面。进程并不是就是与服务与web页面相关联的，譬如rpc/portmap服务，nfs服务，x font服务，dns域名服务，其他外来的或者是没有什么用处的应用软件应该被关掉或者是禁用。在red hat linux的系统中，通常我们用一种运行等级的编辑器来进行有关的设置，譬如我们可以用ntsysv 或者tksysv来禁用其中的那些没有要求的守护进程。

　　

　　通过编辑与修改/etc/inetd.conf可以屏蔽一些不用的端口。作为一个典型的默认值，我们安装一个新的linux系统的时候，/etc/inetd.conf默认的打开了很多端口。所有的系统都应该通过编辑/etc/inetd.conf，删除或者是注释掉其中的一些行，用来禁用那些没有用处的端口，这是最基本的系统安全行为。

　　

　　警戒线（lines of defense）：

　　

　　图解一、多层系统安全

　　

　　这一部分，我们将讨论一个多层通道的系统安全问题。当其中一些安全层被破坏的时候，很多安全层能够独立的应用来提供一些额外的防卫。图1就是一种多层结构的系统安全模型。

　　

　　图表中的每一层都会为自己的上一层提供额外的数据保护。例如：第一层是防火墙，如果防火墙没有阻挡住外界的入侵尝试，那么第二层-端口守护程序就会提供额外的保护。进一步，里面的安全系统是lids与logcheck程序，在入侵尝试没有被第二层截获的时候也会进行保护。

　　

　　监控当前连接

　　

　　防火墙后的第一防护层是用来监控当前与主机的连接尝试的软件包。端口守护程序包（ http://www.psionic.com/abacus/portsentry/ ）提供了一些简洁与有用方式来完成这些事情。

　　

　　端口守护（portsentry）程序的作用

　　

　　端口守护程序的主要作用监控一些特殊的tcp/ip端口的活动情况。portsentry监视并报告一些端口的活动，其中的一种情况可能被选中，包括拒绝进一步的连接尝试。这是一种很重要的防护措施，因为一般的黑客在入侵一个系统之前都会将会使用一些工具来探测系统的漏洞与弱点。察觉到探测器或者是端口扫描，就可以彻底的切断一些潜在地黑客进一步的连接尝试，中止一些带有入侵意图的进一步的端口扫描。

　　

　　安装portsentry

　　

　　对于red hat的用户来说，red hat的ftp服务器上的rpm包里面包含了这个程序。这个站点在全球都有它的镜像，你可以在www.redhat.com上面查找距离你最近的站点。我还不能确定.deb格式的软件包中间是portsentry这样的程序，但是我可以确认那里肯定是有这个软件的。对于其他linux用户来说，通过原码来安装这个软件也是相当地简单的。

...   下一页

» 本期热门文章：

· 热门栏目：

» 相关精选文章

» 其它相关：