web-dev-qa-db-fra.com

Comment installer le système de détection d'intrusion dans Ubuntu 12.04

En gros, je suis à la recherche d’un système de détection d’intrusion ...

donc je trouve que snort est l’un d’eux, il me faut une configuration étape par étape pour installer snort et un outil de surveillance basé sur le web de snort .. like "snort report"

existe-t-il une bonne alternative au système de détection d'intrusion? si oui comment les installer

networkingnetwork-monitoringsnort
4
One Zero

Snort est un système de détection d'intrusion de réseau (NIDS). Snort peut détecter votre réseau et vous alerter en fonction de sa base de données de règles en cas d'attaque sur le réseau de votre ordinateur. C'est un système opensource construit à partir de tcpdump (outil de renifleur linux).

Ce guide peut être utilisé pour installer snort.

psad: détection des intrusions et analyse des journaux avec iptables psad est une collection de trois démons système légers (deux démons principaux et un démon auxiliaire) qui s'exécutent sur des machines Linux et analysent les messages de journal iptables afin de détecter les analyses de ports et tout autre trafic suspect. Un déploiement typique consiste à exécuter psad sur le pare-feu iptables, où il dispose de l’accès le plus rapide au journal.

Si vous utilisez 12.04LTS Server, reportez-vous à la section Comment installer PSAD Intrusion Detection sur un serveur Ubuntu 12.04 LTS.

Sources:
http://nachum234.no-ip.org/security/snort/1-snort-installation-on-ubuntu-11-10-i386/
http://www.cipherdyne.org/psad/index.html

4
Mitch

Vous pouvez jeter un oeil à fail2ban , qui est directement contenu dans le dépôt (vous pouvez donc simplement "Sudo apt-get install fail2ban"). Je l'utilise depuis des années maintenant, et il bloquait beaucoup de pirates informatiques sur mon serveur. Fail2ban fonctionne en analysant les fichiers journaux pour les modèles spécifiés (il est livré avec un bon exemple de configuration), puis en bloquant l’IP des attaquants - par exemple. si un pirate informatique a tenté à cinq reprises de se connecter via ssh (même à des comptes différents), vous pouvez bloquer son adresse IP pour une durée déterminée (par exemple, 30 minutes). Il y a des exemples livrés pour différents services, jetez un coup d'œil à la page d'accueil pour plus d'informations.

Edit: Les notifications sont également possibles (envoyer un mail si quelque chose a été détecté).

3
Izzy

Pour répondre à votre question, une configuration pas à pas:

http://wiki.aanval.com/wiki/Community%3aSnort_2.9.2.3_Installation_Guide_for_Ubuntu_12.04,_with_Barnyard2,_Pulledpork,_et_Aanval

Voir aussi celui-ci, mais ce qui précède a fonctionné mieux pour moi. Cependant, ne vous attendez pas à ce que quelque chose fonctionne la première fois:

http://www.symmetrixtech.com/articles/016-snortinstallguide2953.pdf

1
00fruX