*環(huán)境RedHat 7.3
在網上越來越多的hacker 的出現, 越來越多的高手出現的情況下.如何才能確保自己可以保存一份完整的log 呢？稍微有點概念的hacker 都知道,進入系統(tǒng)后的第一見事情就是去清理log, 而發(fā)現入侵的最簡單最直接的方法就是去看系統(tǒng)紀錄文件.現在我們來說說如何設定一個安全的log服務器.
想想看,如果入侵者無法連接服務器,又如何能改您的log 呢？現在我們來學習如何設定一個無ip 的log 服務器.
現在,來介紹一下如何用Snort 來做三件事情∶
Stealth sniffer
stealth NIDS porbe
stealth logger
這一切都是用在一臺沒有ip 的服務器上面的. NIDS 是Network Intrusion Dectection Server 的簡稱,也就是說入侵檢測服務器.
為什么要stealth 呢？
在internet 中運行任何一種服務,都是有一定的危險的.不管是http 也好, ftp 也好, telnet 也好,總之都會有機會被hack 入侵. stealth logger 的獨特性可以讓我們在接收資料的同時,不發(fā)送任何的資料.這樣外界的電腦（被hack 入侵的電腦）就根本無法去更改loger server 所收到的信息.也就是說保證了我們信息的完整性,以及原始性. 為了確保log 服務器的安全,最好不要將log 服務器連接在網路中.也就是說,當您需要檢查logger 服務器上得東西的時侯,您需要到電腦前,打開屏幕.而不是遠端login 進來.但是,如果說您一定要連接網路的話的話,那么請用兩個的介面來做.也就是說兩片網卡.并且注意,第一, IP forwarding 一定要關閉.第二就是,用來做stealth logger 的介面是沒有ip 的一張網卡,這張網卡必須不能跟另外一個有ip 的網卡在同一網路下面.
設定
首先當然是確定您的網卡安裝無誤,并且可以被kernel 抓到.然后把網卡所需要的module 寫到/etc/modules.conf 文件中.
現在我們來設定一個沒有ip 的網卡介面.
編輯文件/etc/sysconfig/network-scripts/ifcfg-eth0
vim /etc/sysconfig/network-scripts/ifcfg-eth0
DEVICE=eth0
USERCTL=no
ONBOOT=yes
BOOTPROTO=
BROADCAST=
NETWORK=
NETMASK=
IPADDR=
存檔后,用ifconfig 來active 我們的eth0 介面.
初試stealth
這里我們用到了snort 這個程式..
現在我們運行
snort -dvi eth0
這里-d 的選項告訴snort 對資料進行decode （解碼）
-v 告訴snort 將結果顯示在屏幕上面
-i 則是指定所需要的interface
可以用-C 選項告訴snort 只顯示ASCII 部份. 忽略hexadecimal 資料.
$snort -dviC eth0
Log directory= /var/log/snort
Initializing Network Interface eth0
kernel filter, protocol ALL, TURBO mode
(63 frames), raw packet socket
--== Initializing Snort ==--
Decoding Ethernet on interface eth0
--== Initialization Complate ==--
-*> Snort! <*-
Version 1.8.4 (Build 99)
By Martin Roesch (roesch@sourcefire.com,
www.snort.org)
......
......
NIDS（入侵偵測） 入侵檢測本身是一件很復雜的事情. snort 本身也提供了強大的入侵檢測的功能. 這里我只做一個簡單的介紹,好讓大家有一個概念.如果真正實體去做一個NIDS 的話.需要些更復雜的動作.例如設定更完善的rules, 定時更新snort.conf 中所定義的rules （當新的攻擊方式出現以后,要及時更新）
首先,我們需要更改一下/etc/snort/snort.conf 具體需要參照您自己的機器來設定.
#設定log 存放的地方
config logdir: /var/log/snort
#設定網路
var HOME_NET 192.168.1.0/24
var EXTERNAL_NET any
var SMTP $HOME_NET
var HTTP_SERVERS $HOME_NET
var SQL_SERVERS $HOME_NET
var DNS_SERVERS 192.168.1.250/32
var RULE_PATH ./
#設定preprocessors
preprocessor frag2
preprocessor stream4: detect_scans
preprocessor stream4_reassemblt
preprocessor portscan: $HOME_NET 4 3 portscan.log
#設定output
output database: log, mysql, user=root
dbname-snort host=localhost
#rules
alert tcp $HOME_NET 7161 -> $EXTERNAL_NET any
(msg: "MISC Cisco Catalyst Remote Access";
flags: SA; reference:arachnids, 129;
reference:cve, CVE-1999-0430;
classtype:bad-unknow; sid:513; rev:1;)
#設定patch , 這些都是些附加的rules 的文件
include $RULE_PATH/bad-traffic.rules
include $RULE_PATH/exploit.rules
include $RULE_PATH/scan.rules
include $RULE_PATH/ftp.rules
#這些rule 其實還有很多.您可以自己去寫,也可以找人家寫好的下載拿來用.
現在讓我們把snort 跑起來∶
snort -c /etc/snort/snort.conf -D -i eth0
現在snort NIDS 的模式跑起來了. 在default 的情況下∶
alerts 會放在/var/log/snort/alert 中
port-scanning 會放在/var/log/snort/portscan.log
當您真正跑NIDS 的時侯,需要把snort 以daemon 的模式來跑. 如果您安裝的是rpm 的東西,那么rpm 文件中已經包含了一個snortd 的文件,并且會幫您安裝在/etc/rc.d/init.d/ 下面. 當您設定好snort 的configure 文件以后,只要用chkconfig 把snortd 打開就可以了:
加入snortd
chkconfig --add snortd
打開snortd
chkconfig snortd on
或者
chkconfig --level 3 snortd on
這里的level 請自行更改到您所跑的runlevel
您可以用cat /etc/inittab | grep id 來看自己在哪個
runlevel 上面.
cat /etc/inittab | grep id
id:5:initdefault:
這里就是說跑在run level 5 上面.
設定服務器 我們需要對服務器做一些設定,讓服務器把log 送到我們的logger 服務器去. 首先,我們需要設定/etc/syslog.conf 把log 送到一個有效的,但是不存在的ip 下面.例如我們的網路是192.168.1.0/24 其中并沒有192.168.1.123 這臺機器,也就是說這個ip 實際上是空的.我們就把log 指向這里.您可以指向任意一個空的有效ip.
vim /etc/syslog.conf
加入
*.info @192.168.1.123
如果您的系統(tǒng)是用syslog-ng 的話
vim /etc/syslog-ng/syslog-ng.conf
destination d_loghost { udp(ip(192.168.123)
port (514)); };
filter f_info { level(info); };
log {filter(f_info); destination(d_loghost);};
我們還需要加入static ARP entry 才可以. 如果您的網路只是接了記個Hub 而已, 那么ARP 地址一樣可以好象ip 一樣,設定成虛構的. 如果您有連結switch, 您需要加入log 服務器的真實MAC 地址.
我們這里加入我們logger 服務器的真實MAC 地址就可以了.
arp -s 192.168.1.123 000:B7B:BF:95
在Logger 服務器設定snort
/etc/snort/snort.conf
var EXTERNAL_NET any
#等于snort -d
config dump_payload
#等于snort -C
config dump_chars_only
#設定log 存放的path
config logdir: /var/log/snort
# frag2 所做的動作就是把fragmented 給我們re-assembly
preprocessor frag2
log udp 192.168.1.1/32 any -> 192.168.1.123/32 514
(logto: "logged-packets";)
最后一行需要稍微解釋一下∶
我們這里把snort 來做packet logger. 也就是說,并不是把所有的東西都寫入到/var/log/snort/alert 中.而是log any packets with match the rule without writing an alert.
udp: 是說,我們這里用udp 的protocol. system log 通常都是使用udp 的.
192.168.1.1/32: 就是只我們的服務器啦,也就是送log 的機器. 如果您是從整個一個網路段中收log 也可以用192.168.1.0/24.
any: any source port 任何port
->: 這個是direction operator 大家都知道的
192.168.1.123/35 514 就是我們給出的那個空ip 啦, port 514
如果沒有指定logto: 的話, log 會分別保存在不同的文件中. 而指定logto 的話,就會把log 全部存放到我們指定的文件中,看起來方便多了.
更安全的保存log 就可以更安全的保護服務器。snort 的功能實際上非常的強大, 這里只是一個簡單的介紹而已。

版權聲明：本站文章來源標注為YINGSOO的內容版權均為本站所有，歡迎引用、轉載，請保持原文完整并注明來源及原文鏈接。禁止復制或仿造本網站，禁止在非maisonbaluchon.cn所屬的服務器上建立鏡像，否則將依法追究法律責任。本站部分內容來源于網友推薦、互聯(lián)網收集整理而來，僅供學習參考，不代表本站立場，如有內容涉嫌侵權，請聯(lián)系alex-e#qq.com處理。