Ubuntu 12.04入侵检测系统的安装

Question

基本上我是在找入侵检测系统..。

所以我发现snort就是其中之一，所以我需要一步一步的配置来安装snort &一些基于snort web的监控工具..like“snort report”。

入侵检测系统有什么好的替代方案吗？如果是，如何安装？

Answer 1

Snort是网络入侵检测系统(NIDS)。如果您的计算机网络受到攻击，Snort可以根据他的规则DB嗅探您的网络并通知您。它是一个从tcpdump (linux嗅探器工具)构建的开源系统。

本指南可用于安装snort.

psad:带有iptables的入侵检测和日志分析是三个轻量级系统守护进程的集合(两个主守护进程和一个辅助守护进程)，它们运行在Linux机器上，分析iptables日志消息，以检测端口扫描和其他可疑通信量。典型的部署是在iptables防火墙上运行psad，在防火墙中，它对日志数据拥有最快的访问权限。

如果使用12.04LTS服务器，请参见如何在Ubuntu12.04 LTS服务器上安装PSAD入侵检测.

资料来源：

http://nachum234.no-ip.org/security/snort/1-snort-installation-on-ubuntu-11-10-i386/

http://www.cipherdyne.org/psad/index.html

Answer 2

您可以看看fail2ban，它直接包含在repos中(因此您可以简单地"sudo apt install fail2ban")。我用了很多年了，它阻止了很多黑客进入我的服务器。Fail2ban的工作方式是解析指定模式的日志文件(它附带了一个良好的样例配置)，然后阻止攻击者IP --例如，如果黑客5次尝试通过ssh登录失败(即使登录到不同的帐户)，您可以将他的IP阻塞指定的时间(例如30分钟)。有为不同服务提供的示例，只需查看主页获得更多信息即可。

编辑:通知也是可能的(如果检测到了什么，就发送邮件)。

Answer 3

回答你的问题，一步步的配置。

也可以看一下这一个，但是上面的内容对我来说更好。不过，不要指望任何东西第一次起作用。