Archive for September, 2014

  Host1Plus和你一起打造一个安全的网络环境

posted on September 27th, 2014 BY user1
Comments Off

在现实生活中大多数情况下,黑客很难彻底不留痕迹得渗透进网站。

在网络空间中,一切都更复杂。有没有通用的,完全可靠的方法,以保证某些领域还没有被篡改。由于每个软件都有它的缺陷和局限性,每一个入侵企图至少应迅速发现和报告。

这使得人类只能眼睁睁地看着几乎是不可能的。正确的程序手段来代替。对于Linux系统流行的免费入侵检测工具简短回顾下面列出,给你什么样的想法开始了。

第一个步骤
首先,请从一开始“没有什么应该承担”的规则。如果你正在构建一个安全的服务器,请确保你的,你只需要在配置阶段使用它。不应该有任何的时刻,当你不能告诉谁有权访问该系统。

这是很难实现的。使用,也就是说,防火墙,以阻止所有传入的通信保存你自己的IP地址是一场势均力敌的比赛这个条件。然而,所有的初始设置完成后,应该用什么来保证系统已经改变了恶意的目标没有关键领域?

rkhunter
严格地说,rkhunter,“rootkit的猎手”,是不是真正的入侵检测工具。然而,它可以用于与其他的工具,并通知如果系统/重要文件已被破坏。

即使是“后呈文”的检测,它可以提醒你,系统很可能已被泄露(或看起来像它的被泄露)。

请注意,重要的一步是要记住现在的情况是有效的(它意味着它应该做的服务器是开放给公众的广泛之前)。

AIDE,绊线和萨温节
上面提到的是基于主机的入侵检测系统(HIDS)。把它简单,他们监控所有可能不安全的或重要的改变文件系统(例如:系统文件,流行的工具),并进行编程操作,如果检测到变化看区域。

至于“哪个更好”,这简直是个人喜好的问题。如果它使不同的,绊网有免费和商业版本。 AIDE,在我看来,是最简单的学习。萨温节可以成为“隐形”,掩盖它的存在,从而获得一些优势可能的入侵者。

所有的人的本质是一样的:检查是否有改变的文件系统。需要注意的是良好的HIDS也应采取措施,防止其自身的未经授权的改变(否则,它可以禁用或欺骗而忽略了真正的威胁)。

当安装这种跳棋,确保所有报警作品。通过模仿真正的报警测试软件:如果您没有收到警报,出事了。入侵检测没有measning如果能尽快通知您。

Snort的
而HIDS与文件系统,网络入侵检测/防御系统(NIDS或NIPS,分别)处理基于网络的威胁的工作。

Snort是这种系统的一个很好的例子。而资源相对费时,Snort是可以检测到大量恶意活动(病毒/恶意软件的行动,端口扫描,从本地网络等传输可能是重要的数据)的先进工具。

指导的Snort和定义什么是恶意活动可以在任何时刻改变/由Snort的安装管理员更新规则(虽然总有至少所谓的社会规则 – 收集好或多或少最近已知的威胁)。

打鼾应连同HIDS可以使用,因为它包括另一个安全问题 – 那些具有与外部世界的数据交换相关的。

“我应该用什么”?
答案很简单:至少从每一个部分。记,虽然rkhunter和Snort的人在他们的区域中唯一的例子,它们不是单独和唯一的软件段,以执行所描述的任务。

我鼓励你去寻找上面的软件部分在你的OS标准库。它会给你额外的软件产品来看待和研究。

如果你有一个VPS就在眼前,我也鼓励你测试我所提到的每一个标题。除了在建立更好的安全级别获得的经验,你一定会了解这些特定的安全区域,学习条件,明白什么样的威胁,也有等。

最糟糕的方式将完全无视入侵检测,在假设托管服务提供商将尽一切为你。

总结
最后的建议是一样的:不要假设任何事情。即使当HIDS,NIDS等都是建立起来,他们的数据库更新,他们的报告考虑等等 – 这并不意味着你可以​​放松心情,不用担心安全问题。它只是意味着你有工具,将最有可能帮助你及时发现问题,才真正发生(或当他们只开始增长)。

仔细挑个软件可以去除大的负荷了你的肩膀上,在谈及信息安全。

愿你的网络是安全的!

备注:本文来自谷歌翻译,有任何疑问可去美国主机侦探论坛询问