构建入侵检测系统ids-中国安全网.docVIP

构建入侵检测系统（IDS） Snort＋ACID 1．Snort简介 Snort 是一个强大的轻量级的网络入侵检测系统。它具有实时数据流量分析和日志IP 网络数据包的能力，能够进行协议分析，对内容进行搜索/匹配。它能够检测各种不同的攻击方式，对攻击进行实时报警。 2. 平台 # uname -a FreeBSD 6.1-RELEASE /usr/obj/usr/src/sys/GENERIC i386 FreeBSD是financeWEB和KABU服务器使用最多的操作系统（还有一部分使用的linux操作系统），现在以FreeBSD操作系统为例，进行构建。 3. 所需要的软件（省略，下面会有介绍） 4. 安装FreeBSD 6.1（省略） 5. 安装最新的ports login:root password 1）Install cvsup-without-gui #pkg_add -r cvsup-without-gui 2）安全设置 ee /etc/rc.conf 增加以下行： sendmail_enable=NONE inetd_enable=NO ntpdate_flags= ntpdate_enable=YES ifconfig_fxp0=inet 99 netmask defaultrouter=0 保存 ee /etc/ssh/sshd_config 只容许ssh协议2 #Protocol 2 － Protocol 2 #PermitRootLogin no － PermitRootLogin no 保存 ee /etc/ttys 拒绝单用户模式登录 console none unknown off secure － console none unknown off insecure 保存 重启网络 /etc/netstart 3）安装最新的ports树 cp /usr/share/examples/cvsup/ports-supfile /etc/ cp /usr/share/examples/cvsup/stable-supfile /etc/ ee /etc/ports-supfile *default host=CHANGE_THIS.FreeBSD.org － *default host=cvsup5.FreeBSD.org 保存 ee /etc/stable-supfile *default host=CHANGE_THIS.FreeBSD.org － *default host=cvsup5.FreeBSD.org 在*default release=cvs tag=RELENG_6行上面增加： *default release=cvs tag=RELENG_6_1 保存 mkdir /root/scripts cd /root/scripts ee ports-update.sh #!/bin/sh # updating port echo Beginning Ports Update /usr/local/bin/cvsup -g -L 2 /etc/ports-supfile echo Ports Update Complete 保存 ee src-update.sh #!/bin/sh # updating source echo Beginning Source Update /usr/local/bin/cvsup -g -L 2 /etc/stable-supfile echo Source Update Complete 保存 chmod +x *.sh chmod 640 /etc/ports-supfile chmod 640 /etc/stable-supfile 4）重建ports树并重新编译核心 /root/scripts/src-update.sh cd /usr/src/sys/i386/conf 这时候你可以根据需要，修改文件：GENERIC，更改核心设备的设置等 cp GENERIC CUSTOM vi CUSTOM 保存 5）为FreeBSD打最新的补丁： mkdir /usr/patches cd /usr/patches fetch ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/patches/SA-05:14/bzip2.patch fetch ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/patches/SA-05:14/bzip2.patch.asc cd /usr/src patch /usr/patches/bzip2.patch 一路“回车” 6）打完补丁，开始重新编译系统