linuxsnort使用

❶ linux的系統的安全如何保障保護Linux系統安全的九個常用方法

在現在這個世道中，保障基於Linux的系統的安全是十分重要的。但是，你得知道怎麼干。一個簡單反惡意程序軟體是遠遠不夠的，你需要採取其它措施來協同工作。那麼Linux的系統的安全如何保障？今天小編就為大家總結九個常用方法來保護Linux系統安全，希望能幫助到大家。

1. 使用SELinux

SELinux是用來對Linux進行安全加固的，有了它，用戶和管理員們就可以對訪問控制進行更多控制。SELinux為訪問控制添加了更細的顆粒度控制。與僅可以指定誰可以讀、寫或執行一個文件的許可權不同的是，SELinux可以讓你指定誰可以刪除鏈接、只能追加、移動一個文件之類的更多控制。(LCTT譯註：雖然NSA也給SELinux貢獻過很多代碼，但是目前尚無證據證明SELinux有潛在後門)

2禁用不用的服務和應用

通常來講，用戶大多數時候都用不到他們系統上的服務和應用的一半。然而，這些服務和應用還是會運行，這會招來攻擊者。因而，最好是把這些不用的服務停掉。(LCTT譯註：或者乾脆不安裝那些用不到的服務，這樣根本就不用關注它們是否有安全漏洞和該升級了。)

3 訂閱漏洞警報服務

安全缺陷不一定是在你的操作系統上。事實上，漏洞多見於安裝的應用程序之中。為了避免這個問題的發生，你必須保持你的應用程序更新到最新版本。此外，訂閱漏洞警報服務，如SecurityFocus。

4 使用Iptables

Iptables是什麼?這是一個應用框架，它允許用戶自己為系統建立一個強大的防火牆。因此，要提升安全防護能力，就要學習怎樣一個好的防火牆以及怎樣使用Iptables框架。

5 檢查系統日誌

你的系統日誌告訴你在系統上發生了什麼活動，包括攻擊者是否成功進入或試著訪問系統。時刻保持警惕，這是你第一條防線，而經常性地監控系統日誌就是為了守好這道防線。

6 考慮使用埠試探

設置埠試探(Port knocking)是建立伺服器安全連接的好方法。一般做法是發生特定的包給伺服器，以觸發伺服器的回應/連接(打開防火牆)。埠敲門對於那些有開放埠的系統是一個很好的防護措施。

7. 默認拒絕所有

防火牆有兩種思路：一個是允許每一點通信，另一個是拒絕所有訪問，提示你是否許可。第二種更好一些。你應該只允許那些重要的通信進入。(LCTT譯註：即默認許可策略和默認禁止策略，前者你需要指定哪些應該禁止，除此之外統統放行;後者你需要指定哪些可以放行，除此之外全部禁止。)

8.使用全盤加密

加密的數據更難竊取，有時候根本不可能被竊取，這就是你應該對整個驅動器加密的原因。採用這種方式後，如果有某個人進入到你的系統，那麼他看到這些加密的數據後，就有得頭痛了。根據一些報告，大多數數據丟失源於機器被盜。

9.使用入侵檢測系統

入侵檢測系統，或者叫IDS，允許你更好地管理系統上的通信和受到的攻擊。Snort是目前公認的Linux上的最好的IDS。

以上就是保護Linux系統安全的九個常用方法，希望能幫助到大家！

❷ Linux伺服器的安全防護都有哪些措施

隨著開源系統Linux的盛行，其在大中型企業的應用也在逐漸普及，很多企業的應用服務都是構築在其之上，例如Web服務、資料庫服務、集群服務等等。因此，Linux的安全性就成為了企業構築安全應用的一個基礎，是重中之重，如何對其進行安全防護是企業需要解決的一個基礎性問題，基於此，本文將給出十大企業級Linux伺服器安全防護的要點。 1、強化：密碼管理 設定登錄密碼是一項非常重要的安全措施，如果用戶的密碼設定不合適，就很容易被破譯，尤其是擁有超級用戶使用許可權的用戶，如果沒有良好的密碼，將給系統造成很大的安全漏洞。 目前密碼破解程序大多採用字典攻擊以及暴力攻擊手段，而其中用戶密碼設定不當，則極易受到字典攻擊的威脅。很多用戶喜歡用自己的英文名、生日或者賬戶等信息來設定密碼，這樣，黑客可能通過字典攻擊或者是社會工程的手段來破解密碼。所以建議用戶在設定密碼的過程中，應盡量使用非字典中出現的組合字元，並且採用數字與字元相結合、大小寫相結合的密碼設置方式，增加密碼被黑客破解的難度。而且，也可以使用定期修改密碼、使密碼定期作廢的方式，來保護自己的登錄密碼。 在多用戶系統中，如果強迫每個用戶選擇不易猜出的密碼，將大大提高系統的安全性。但如果passwd程序無法強迫每個上機用戶使用恰當的密碼，要確保密碼的安全度，就只能依靠密碼破解程序了。實際上，密碼破解程序是黑客工具箱中的一種工具，它將常用的密碼或者是英文字典中所有可能用來作密碼的字都用程序加密成密碼字，然後將其與Linux系統的/etc/passwd密碼文件或/etc/shadow影子文件相比較，如果發現有吻合的密碼，就可以求得明碼了。在網路上可以找到很多密碼破解程序，比較有名的程序是crack和john the ripper.用戶可以自己先執行密碼破解程序，找出容易被黑客破解的密碼，先行改正總比被黑客破解要有利。 2、限定：網路服務管理 早期的Linux版本中，每一個不同的網路服務都有一個服務程序(守護進程，Daemon)在後台運行，後來的版本用統一的/etc/inetd伺服器程序擔此重任。Inetd是Internetdaemon的縮寫，它同時監視多個網路埠，一旦接收到外界傳來的連接信息，就執行相應的TCP或UDP網路服務。由於受inetd的統一指揮，因此Linux中的大部分TCP或UDP服務都是在/etc/inetd.conf文件中設定。所以取消不必要服務的第一步就是檢查/etc/inetd.conf文件，在不要的服務前加上“#”號。 一般來說，除了http、smtp、telnet和ftp之外，其他服務都應該取消，諸如簡單文件傳輸協議tftp、網路郵件存儲及接收所用的imap/ipop傳輸協議、尋找和搜索資料用的gopher以及用於時間同步的daytime和time等。還有一些報告系統狀態的服務，如finger、efinger、systat和netstat等，雖然對系統查錯和尋找用戶非常有用，但也給黑客提供了方便之門。例如，黑客可以利用finger服務查找用戶的電話、使用目錄以及其他重要信息。因此，很多Linux系統將這些服務全部取消或部分取消，以增強系統的安全性。Inetd除了利用/etc/inetd.conf設置系統服務項之外，還利用/etc/services文件查找各項服務所使用的埠。因此，用戶必須仔細檢查該文件中各埠的設定，以免有安全上的漏洞。 在後繼的Linux版本中(比如Red Hat Linux7.2之後)，取而代之的是採用xinetd進行網路服務的管理。 當然，具體取消哪些服務不能一概而論，需要根據實際的應用情況來定，但是系統管理員需要做到心中有數，因為一旦系統出現安全問題，才能做到有步驟、有條不紊地進行查漏和補救工作，這點比較重要。 3、嚴格審計：系統登錄用戶管理 在進入Linux系統之前，所有用戶都需要登錄，也就是說，用戶需要輸入用戶賬號和密碼，只有它們通過系統驗證之後，用戶才能進入系統。 與其他Unix操作系統一樣，Linux一般將密碼加密之後，存放在/etc/passwd文件中。Linux系統上的所有用戶都可以讀到/etc/passwd文件，雖然文件中保存的密碼已經經過加密，但仍然不太安全。因為一般的用戶可以利用現成的密碼破譯工具，以窮舉法猜測出密碼。比較安全的方法是設定影子文件/etc/shadow，只允許有特殊許可權的用戶閱讀該文件。 在Linux系統中，如果要採用影子文件，必須將所有的公用程序重新編譯，才能支持影子文件。這種方法比較麻煩，比較簡便的方法是採用插入式驗證模塊(PAM)。很多Linux系統都帶有Linux的工具程序PAM，它是一種身份驗證機制，可以用來動態地改變身份驗證的方法和要求，而不要求重新編譯其他公用程序。這是因為PAM採用封閉包的方式，將所有與身份驗證有關的邏輯全部隱藏在模塊內，因此它是採用影子檔案的最佳幫手。 此外，PAM還有很多安全功能：它可以將傳統的DES加密方法改寫為其他功能更強的加密方法，以確保用戶密碼不會輕易地遭人破譯;它可以設定每個用戶使用電腦資源的上限;它甚至可以設定用戶的上機時間和地點。 Linux系統管理人員只需花費幾小時去安裝和設定PAM，就能大大提高Linux系統的安全性，把很多攻擊阻擋在系統之外。 4、設定：用戶賬號安全等級管理 除密碼之外，用戶賬號也有安全等級，這是因為在Linux上每個賬號可以被賦予不同的許可權，因此在建立一個新用戶ID時，系統管理員應該根據需要賦予該賬號不同的許可權，並且歸並到不同的用戶組中。 在Linux系統中的部分文件中，可以設定允許上機和不允許上機人員的名單。其中，允許上機人員名單在/etc/hosts.allow中設置，不允許上機人員名單在/etc/hosts.deny中設置。此外，Linux將自動把允許進入或不允許進入的結果記錄到/var/log/secure文件中，系統管理員可以據此查出可疑的進入記錄。 每個賬號ID應該有專人負責。在企業中，如果負責某個ID的職員離職，管理員應立即從系統中刪除該賬號。很多入侵事件都是借用了那些很久不用的賬號。 在用戶賬號之中，黑客最喜歡具有root許可權的賬號，這種超級用戶有權修改或刪除各種系統設置，可以在系統中暢行無阻。因此，在給任何賬號賦予root許可權之前，都必須仔細考慮。 Linux系統中的/etc/securetty文件包含了一組能夠以root賬號登錄的終端機名稱。例如，在RedHatLinux系統中，該文件的初始值僅允許本地虛擬控制台(rtys)以root許可權登錄，而不允許遠程用戶以root許可權登錄。最好不要修改該文件，如果一定要從遠程登錄為root許可權，最好是先以普通賬號登錄，然後利用su命令升級為超級用戶。 5、謹慎使用：“r系列”遠程程序管理 在Linux系統中有一系列r字頭的公用程序，比如rlogin，rcp等等。它們非常容易被黑客用來入侵我們的系統，因而非常危險，因此絕對不要將root賬號開放給這些公用程序。由於這些公用程序都是用。rhosts文件或者hosts.equiv文件核准進入的，因此一定要確保root賬號不包括在這些文件之內。 由於r等遠程指令是黑客們用來攻擊系統的較好途徑，因此很多安全工具都是針對這一安全漏洞而設計的。例如，PAM工具就可以用來將r字頭公用程序有效地禁止掉，它在/etc/pam.d/rlogin文件中加上登錄必須先核準的指令，使整個系統的用戶都不能使用自己home目錄下的。rhosts文件。 6、限制：root用戶許可權管理 Root一直是Linux保護的重點，由於它權力無限，因此最好不要輕易將超級用戶授權出去。但是，有些程序的安裝和維護工作必須要求有超級用戶的許可權，在這種情況下，可以利用其他工具讓這類用戶有部分超級用戶的許可權。sudo就是這樣的工具。 sudo程序允許一般用戶經過組態設定後，以用戶自己的密碼再登錄一次，取得超級用戶的許可權，但只能執行有限的幾個指令。例如，應用sudo後，可以讓管理磁帶備份的管理人員每天按時登錄到系統中，取得超級用戶許可權去執行文檔備份工作，但卻沒有特權去作其他只有超級用戶才能作的工作。 sudo不但限制了用戶的許可權，而且還將每次使用sudo所執行的指令記錄下來，不管該指令的執行是成功還是失敗。在大型企業中，有時候有許多人同時管理Linux系統的各個不同部分，每個管理人員都有用sudo授權給某些用戶超級用戶許可權的能力，從sudo的日誌中，可以追蹤到誰做了什麼以及改動了系統的哪些部分。 值得注意的是，sudo並不能限制所有的用戶行為，尤其是當某些簡單的指令沒有設置限定時，就有可能被黑客濫用。例如，一般用來顯示文件內容的/etc/cat指令，如果有了超級用戶的許可權，黑客就可以用它修改或刪除一些重要的文件。 7、追蹤黑客蹤跡：日誌管理 當用戶仔細設定了各種與Linux相關的配置(最常用日誌管理選項)，並且安裝了必要的安全防護工具之後，Linux操作系統的安全性的確大為提高，但是卻並不能保證防止那些比較熟練的網路黑客的入侵。 在平時，網路管理人員要經常提高警惕，隨時注意各種可疑狀況，並且按時檢查各種系統日誌文件，包括一般信息日誌、網路連接日誌、文件傳輸日誌以及用戶登錄日誌等。在檢查這些日誌時，要注意是否有不合常理的時間記載。例如： 正常用戶在半夜三更登錄; 不正常的日誌記錄，比如日誌只記錄了一半就切斷了，或者整個日誌文件被刪除了; 用戶從陌生的網址進入系統; 因密碼錯誤或用戶賬號錯誤被擯棄在外的日誌記錄，尤其是那些一再連續嘗試進入失敗，但卻有一定模式的試錯法; 非法使用或不正當使用超級用戶許可權su的指令; 重新開機或重新啟動各項服務的記錄。 上述這些問題都需要系統管理員隨時留意系統登錄的用戶狀況以及查看相應日誌文件，許多背離正常行為的蛛絲馬跡都應當引起高度注意。 8、橫向擴展：綜合防禦管理 防火牆、IDS等防護技術已經成功地應用到網路安全的各個領域，而且都有非常成熟的產品。 在Linux系統來說，有一個自帶的Netfilter/Iptables防火牆框架，通過合理地配置其也能起到主機防火牆的功效。在Linux系統中也有相應的輕量級的網路入侵檢測系統Snort以及主機入侵檢測系統LIDS(Linux Intrusion Detection System)，使用它們可以快速、高效地進行防護。 需要提醒注意的是：在大多數的應用情境下，我們需要綜合使用這兩項技術，因為防火牆相當於安全防護的第一層，它僅僅通過簡單地比較IP地址/埠對來過濾網路流量，而IDS更加具體，它需要通過具體的數據包(部分或者全部)來過濾網路流量，是安全防護的第二層。綜合使用它們，能夠做到互補，並且發揮各自的優勢，最終實現綜合防禦。 9、評測：漏洞追蹤及管理 Linux作為一種優秀的開源軟體，其自身的發展也日新月異，同時，其存在的問題也會在日後的應用中慢慢暴露出來。黑客對新技術的關注從一定程度上來說要高於我們防護人員，所以要想在網路攻防的戰爭中處於有利地位，保護Linux系統的安全，就要求我們要保持高度的警惕性和對新技術的高度關注。用戶特別是使用Linux作為關鍵業務系統的系統管理員們，需要通過Linux的一些權威網站和論壇上盡快地獲取有關該系統的一些新技術以及一些新的系統漏洞的信息，進行漏洞掃描、滲透測試等系統化的相關配套工作，做到防範於未然，提早行動，在漏洞出現後甚至是出現前的最短時間內封堵系統的漏洞，並且在實踐中不斷地提高安全防護的技能，這樣才是一個比較的解決辦法和出路。 10、保持更新：補丁管理 Linux作為一種優秀的開源軟體，其穩定性、安全性和可用性有極為可靠的保證，世界上的Linux高手共同維護著個優秀的產品，因而起流通渠道很多，而且經常有更新的程序和系統補丁出現，因此，為了加強系統安全，一定要經常更新系統內核。 Kernel是Linux操作系統的核心，它常駐內存，用於載入操作系統的其他部分，並實現操作系統的基本功能。由於Kernel控制計算機和網路的各種功能，因此，它的安全性對整個系統安全至關重要。早期的Kernel版本存在許多眾所周知的安全漏洞，而且也不太穩定，只有2.0.x以上的版本才比較穩定和安全(一般說來，內核版本號為偶數的相對穩定，而為奇數的則一般為測試版本，用戶們使用時要多留意)，新版本的運行效率也有很大改觀。在設定Kernel的功能時，只選擇必要的功能，千萬不要所有功能照單全收，否則會使Kernel變得很大，既佔用系統資源，也給黑客留下可乘之機。 在Internet上常常有最新的安全修補程序，Linux系統管理員應該消息靈通，經常光顧安全新聞組，查閱新的修補程序。

❸ snort誰會用

第一章 snort簡介
snort有三種工作模式：嗅探器、數據包記錄器、網路入侵檢測系統。嗅探器模式僅僅是從網路上讀取數據包並作為連續不斷的流顯示在終端上。數據包記錄器模式把數據包記錄到硬碟上。網路入侵檢測模式是最復雜的，而且是可配置的。我們可以讓snort分析網路數據流以匹配用戶定義的一些規則，並根據檢測結果採取一定的動作。

嗅探器

所謂的嗅探器模式就是snort從網路上讀出數據包然後顯示在你的控制台上。首先，我們從最基本的用法入手。如果你只要把TCP/IP包頭信息列印在屏幕上，只需要輸入下面的命令：

./snort -v

使用這個命令將使snort只輸出IP和TCP/UDP/ICMP的包頭信息。如果你要看到應用層的數據，可以使用：

./snort -vd

這條命令使snort在輸出包頭信息的同時顯示包的數據信息。如果你還要顯示數據鏈路層的信息，就使用下面的命令：

./snort -vde

注意這些選項開關還可以分開寫或者任意結合在一塊。例如：下面的命令就和上面最後的一條命令等價：

./snort -d -v –e

數據包記錄器

如果要把所有的包記錄到硬碟上，你需要指定一個日誌目錄，snort就會自動記錄數據包：

./snort -dev -l ./log

當然，./log目錄必須存在，否則snort就會報告錯誤信息並退出。當snort在這種模式下運行，它會記錄所有看到的包將其放到一個目錄中，這個目錄以數據包目的主機的IP地址命名，例如：192.168.10.1

如果你只指定了-l命令開關，而沒有設置目錄名，snort有時會使用遠程主機的IP地址作為目錄，有時會使用本地主機IP地址作為目錄名。為了只對本地網路進行日誌，你需要給出本地網路：

./snort -dev -l ./log -h 192.168.1.0/24

這個命令告訴snort把進入C類網路192.168.1的所有包的數據鏈路、TCP/IP以及應用層的數據記錄到目錄./log中。

如果你的網路速度很快，或者你想使日誌更加緊湊以便以後的分析，那麼應該使用二進制的日誌文件格式。所謂的二進制日誌文件格式就是tcpmp程序使用的格式。使用下面的命令可以把所有的包記錄到一個單一的二進制文件中：

./snort -l ./log -b

注意此處的命令行和上面的有很大的不同。我們勿需指定本地網路，因為所有的東西都被記錄到一個單一的文件。你也不必冗餘模式或者使用-d、-e功能選項，因為數據包中的所有內容都會被記錄到日誌文件中。

你可以使用任何支持tcpmp二進制格式的嗅探器程序從這個文件中讀出數據包，例如：tcpmp或者Ethereal。使用-r功能開關，也能使 snort讀出包的數據。snort在所有運行模式下都能夠處理tcpmp格式的文件。例如：如果你想在嗅探器模式下把一個tcpmp格式的二進制文件中的包列印到屏幕上，可以輸入下面的命令：

./snort -dv -r packet.log

在日誌包和入侵檢測模式下，通過BPF(BSD Packet Filter)介面，你可以使用許多方式維護日誌文件中的數據。例如，你只想從日誌文件中提取ICMP包，只需要輸入下面的命令行：

./snort -dvr packet.log icmp

網路入侵檢測系統
snort最重要的用途還是作為網路入侵檢測系統(NIDS)，使用下面命令行可以啟動這種模式：

./snort -dev -l ./log -h 192.168.1.0/24 -c snort.conf

snort.conf是規則集文件。snort會對每個包和規則集進行匹配，發現這樣的包就採取相應的行動。如果你不指定輸出目錄，snort就輸出到/var/log/snort目錄。

注意：如果你想長期使用snort作為自己的入侵檢測系統，最好不要使用-v選項。因為使用這個選項，使snort向屏幕上輸出一些信息，會大大降低snort的處理速度，從而在向顯示器輸出的過程中丟棄一些包。

此外，在絕大多數情況下，也沒有必要記錄數據鏈路層的包頭，所以-e選項也可以不用：

./snort -d -h 192.168.1.0/24 -l ./log -c snort.conf

這是使用snort作為網路入侵檢測系統最基本的形式，日誌符合規則的包，以ASCII形式保存在有層次的目錄結構中。

網路入侵檢測模式下的輸出選項
在NIDS模式下，有很多的方式來配置snort的輸出。在默認情況下，snort以ASCII格式記錄日誌，使用full報警機制。如果使用full報警機制，snort會在包頭之後列印報警消息。如果你不需

要日誌包，可以使用-N選項。

snort有6種報警機制：full、fast、socket、syslog、smb(winpopup)和none。其中有4個可以在命令行狀態下使用-A選項設置。這4個是：

-A fast：報警信息包括：一個時間戳(timestamp)、報警消息、源/目的IP地址和埠。
-A full：是默認的報警模式。
-A unsock：把報警發送到一個UNIX套接字，需要有一個程序進行監聽，這樣可以實現實時報警。
-A none：關閉報警機制。
使用-s選項可以使snort把報警消息發送到syslog，默認的設備是LOG_AUTHPRIV和LOG_ALERT。可以修改snort.conf文件修改其配置。

snort還可以使用SMB報警機制，通過SAMBA把報警消息發送到Windows主機。為了使用這個報警機制，在運行./configure腳本時，必須使用--enable-smbalerts選項。
下面是一些輸出配置的例子：

使用默認的日誌方式(以解碼的ASCII格式)並且把報警發給syslog：

./snort -c snort.conf -l ./log -s -h 192.168.1.0/24

使用二進制日誌格式和SMB報警機制：

./snort -c snort.conf -b -M WORKSTATIONS

第二章 編寫snort 規則
基礎
snort使用一種簡單的，輕量級的規則描述語言，這種語言靈活而強大。在開發snort規則時要記住幾個簡單的原則。

第一，大多數snort規則都寫在一個單行上，或者在多行之間的行尾用/分隔。Snort規則被分成兩個邏輯部分：規則頭和規則選項。規則頭包含規則的動作，協議，源和目標ip地址與網路掩碼，以及源和目標埠信息；規則選項部分包含報警消息內容和要檢查的包的具體部分。
下面是一個規則範例：

alert tcp any any -> 192.168.1.0/24 111 (content:"|00 01 86 a5|"; msg: "mountd access";)

第一個括弧前的部分是規則頭（rule header），包含的括弧內的部分是規則選項（rule options）。規則選項部分中冒號前的單詞稱為選項關鍵字（option keywords）。注意，不是所有規則都必須包含規則選項部分，選項部分只是為了使對要收集或報警，或丟棄的包的定義更加嚴格。組成一個規則的所有元素對於指定的要採取的行動都必須是真的。當多個元素放在一起時，可以認為它們組成了一個邏輯與（AND）語句。同時，snort規則庫文件中的不同規則可以認為組成了一個大的邏輯或（OR）語句。

規則高級概念
Includes:

include允許由命令行指定的規則文件包含其他的規則文件。

格式：

include:

注意在該行結尾處沒有分號。被包含的文件會把任何預先定義的變數值替換為自己的變數引用。參見變數（Variables）一節以獲取關於在SNORT規則文件中定義和使用變數的更多信息。

Variables :

變數可能在snort中定義。

格式：

var:

例子：

var MY_NET 192.168.1.0/24
alert tcp any any -> $MY_NET any (flags: S; msg: "SYN packet";)

規則變數名可以用多種方法修改。可以在"$"操作符之後定義變數。"?" 和 "-"可用於變數修改操作符。

$var - 定義變數。
$(var) - 用變數"var"的值替換。
$(var:-default) - 用變數"var"的值替換，如果"var"沒有定義用"default"替換。
$(var:?message) - 用變數"var"的值替換或列印出錯誤消息"message"然後退出。

例子：

var MY_NET $(MY_NET:-192.168.1.0/24)
log tcp any any -> $(MY_NET:?MY_NET is undefined!) 23

Config

Snort的很多配置和命令行選項都可以在配置文件中設置。

格式：

config [: ]

Directives

order 改變規則的順序( snort -o )
alertfile 設置報警輸出文件，例如：config alertfile: alerts
classification 創建規則分類。
decode_arp 開啟arp解碼功能。(snort -a)
mp_chars_only 開啟字元傾卸功能。(snort -C)
mp_payload 傾卸應用層數據。(snort -d)
decode_data_link 解碼第二層數據包頭。(snort -e)
bpf_file 指定BPF過濾器(snort -F)。例如：config bpf_file: filename.bpf
set_gid 改變GID (snort -g)。例如：config set_gid: snort_group
daemon 以後台進程運行。(snort -D)
reference_net 設置本地網路。 (snort -h). 例如：config reference_net:192.168.1.0/24
interface 設置網路介面(snort –i )。例如：config interface: xl0
alert_with_interface_name 報警時附加上介面信息。(snort -I)
logdir 設置記錄目錄 (snort -l)。例如：config logdir: /var/log/snort
umask 設置snort輸出文件的許可權位。(snort -m). Example: config umask: 022
pkt_count 處理n個數據包後就退出。(snort -n). Example: config pkt_count: 13
nolog 關閉記錄功能，報警仍然有效。 (snort -N)
obfuscate 使IP地址混亂 (snort -O)
no_promisc 關閉混雜模式。(snort -p)
quiet 安靜模式，不顯示標志和狀態報告。(snort -q)
checksum_mode 計算校驗和的協議類型。類型值：none, noip, notcp, noicmp, noudp, all
utc 在時間戳上用UTC時間代替本地時間。 (snort -U)
verbose 將詳細記錄信息列印到標准輸出。 (snort -v)
mp_payload_verbose 傾卸數據鏈路層的原始數據包 ( snort -X )
show_year 在時間戳上顯示年份。(snort -y)
stateful 為stream4設置保證模式。
min_ttl 設置一個snort內部的ttl值以忽略所有的流量。
disable_decode_alerts 關閉解碼時發出的報警。
disable_tcpopt_experimental_alerts 關閉tcp實驗選項所發出的報警。
disable_tcpopt_obsolete_alerts關閉tcp過時選項所發出的報警。
disable_tcpopt_ttcp_alerts 關閉ttcp選項所發出的報警。
disable_tcpopt_alerts 關閉選項長度確認報警。
disable_ipopt_alerts 關閉IP選項長度確認報警。
detection 配置檢測引擎。( 例如：search-method lowmem )
reference 給snort加入一個新的參考系統。
規則頭

規則動作：

規則的頭包含了定義一個包的who，where和what信息，以及當滿足規則定義的所有屬性的包出現時要採取的行動。規則的第一項是"規則動作"（rule action），"規則動作"告訴snort在發現匹配規則的包時要干什麼。在snort中有五種動作：alert、log、pass、activate 和dynamic.

1、Alert-使用選擇的報警方法生成一個警報，然後記錄（log）這個包。
2、Log-記錄這個包。
3、Pass-丟棄（忽略）這個包。
4、activate-報警並且激活另一條dynamic規則。
5、dynamic-保持空閑直到被一條activate規則激活，被激活後就作為一條log規則執行。
你可以定義你自己的規則類型並且附加一條或者更多的輸出模塊給它，然後你就可以使用這些規則類型作為snort規則的一個動作。

下面這個例子創建一條規則，記錄到tcpmp。

ruletype suspicious
{
type log output
log_tcpmp: suspicious.log
}
下面這個例子創建一條規則，記錄到系統日誌和MySQL資料庫
ruletype redalert
{
type alert output
alert_syslog: LOG_AUTH LOG_ALERT
output database: log, mysql, user=snort dbname=snort host=localhost
}

協議

規則的下一部分是協議。Snort當前分析可疑包的ip協議有四種：tcp 、udp、icmp和ip。將來可能會更多，例如ARP、IGRP、GRE、OSPF、RIP、IPX等。

Ip地址

規則頭的下一個部分處理一個給定規則的ip地址和埠號信息。關鍵字"any"可以被用來定義任何地址。Snort 沒有提供根據ip地址查詢域名的機制。地址就是由直接的數字型ip地址和一個cidr塊組成的。Cidr塊指示作用在規則地址和需要檢查的進入的任何包的網路掩碼。/24表示c類網路，/16表示b類網路，/32表示一個特定的機器的地址。例如，192.168.1.0/24代表從192.168.1.1 到192.168.1.255的地址塊。在這個地址范圍的任何地址都匹配使用這個192.168.1.0/24標志的規則。這種記法給我們提供了一個很好的方法來表示一個很大的地址空間。

有一個操作符可以應用在ip地址上，它是否定運算符（negation operator）。這個操作符告訴snort匹配除了列出的ip地址以外的所有ip地址。否定操作符用"！"表示。下面這條規則對任何來自本地網路以外的流都進行報警。

alert tcp !192.168.1.0/24 any -> 192.168.1.0/24 111 (content: "|00 01 86 a5|"; msg: "external mountd access";)

這個規則的ip地址代表"任何源ip地址不是來自內部網路而目標地址是內部網路的tcp包"。
你也可以指定ip地址列表，一個ip地址列表由逗號分割的ip地址和CIDR塊組成，並且要放在方括弧內「[」，「]」。此時，ip列表可以不包含空格在ip地址之間。下面是一個包含ip地址列表的規則的例子。

alert tcp ![192.168.1.0/24,10.1.1.0/24] any -> [192.168.1.0/24,10.1.1.0/24] 111 (content: "|00 01 86 a5|"; msg: "external mountd access";)

埠號

埠號可以用幾種方法表示，包括"any"埠、靜態埠定義、范圍、以及通過否定操作符。"any"埠是一個通配符，表示任何埠。靜態埠定義表示一個單個埠號，例如111表示portmapper，23表示telnet，80表示http等等。埠范圍用范圍操作符"："表

❹ linux網路設置

一.安裝和配置網路設備
在安裝linux時,如果你有網卡,安裝程序將會提示你給出tcp/ip網路的配置參數,如本機的 ip地址,預設網關的ip地址,DNS的ip地址等等.根據這些配置參數,安裝程序將會自動把網卡(linux系統首先要支持)驅動程序編譯到內核中去. 但是我們一定要了解載入網卡驅動程序的過程,那麼在以後改變網卡,使用多個網卡的時候我們就會很容易的操作.網卡的驅動程序是作為模塊載入到內核中去的, 所有linux支持的網卡驅動程序都是存放在目錄/lib/moles/(linux版本號)/net/ ,例如inter的82559系列10/100M自適應的引導網卡的驅動程序是eepro100.o,3COM的3C509 ISA網卡的驅動程序是3C509.o,DLINK的pci 10網卡的驅動程序是via-rhine.o,NE2000兼容性網卡的驅動程序是ne2k-pci.o和ne.o.在了解了這些基本的驅動程序之後,我們就可以通過修改模塊配置文件來更換網卡或者增加網卡.
1. 修改/etc/conf.moles 文件
這個配置文件是載入模塊的重要參數文件,大家先看一個範例文件
#/etc/conf.moles
alias eth0 eepro100
alias eth1 eepro100
這個文件是一個裝有兩塊inter 82559系列網卡的linux系統中的conf.moles中的內容.alias命令表明以太口(如eth0)所具有的驅動程序的名稱,alias eth0 eepro100說明在零號乙太網口所要載入的驅動程序是eepro100.o.那麼在使用命令 modprobe eth0的時候,系統將自動將eepro100.o載入到內核中.對於pci的網卡來說,由於系統會自動找到網卡的io地址和中斷號,所以沒有必要在 conf.moles中使用選項options來指定網卡的io地址和中斷號.但是對應於ISA網卡,則必須要在conf.moles中指定硬體的io地址或中斷號, 如下所示,表明了一塊NE的ISA網卡的conf.moles文件.
alias eth0 ne
options ne io=0x300 irq=5
在修改完conf.moles文件之後,就可以使用命令來載入模塊,例如要插入inter的第二塊網卡:

#insmod /lib/moles/2.2.14/net/eepro100.o
這樣就可以在以太口載入模塊eepro100.o.同時,還可以使用命令來查看當前載入的模塊信息:

[root@ice /etc]# lsmod
Mole Size Used by
eepro100 15652 2 (autoclean)
返回結果的含義是當前載入的模塊是eepro100,大小是15652個位元組,使用者兩個,方式是自動清除.
2. 修改/etc/lilo.conf文件

在一些比較新的linux版本中,由於操作系統自動檢測所有相關的硬體,所以此時不必修改/etc/lilo.conf文件.但是對於ISA網卡和老的版本,為了在系統初始化中對新加的網卡進行初始化,可以修改lilo.conf文件.在/etc/lilo.conf文件中增加如下命令:
append="ether=5,0x240,eth0 ether=7,0x300,eth1"
這條命令的含義是eth0的io地址是0x240,中斷是5,eth1的io地址是0x300,中斷是7.

實際上,這條語句來自在系統引導影像文件時傳遞的參數,
LILO: linux ether=5,0x240,eth0 ether=7,0x300,eth1
這種方法也同樣能夠使linux系統配置好兩個網卡.類似的,在使用三個以上網卡的時候,也可以依照同樣的方法.
在配置好網卡之後，就應該配置TCP/IP的參數，在一般情況下,在安裝linux系統的同時就會提示配置網路參數.但是之後如果我們想要修改網路設置，可以使用如下的命令：

#ifconfig eth0 A.B.C.D netmask E.F.G.H

A.B.C.D 是eth0的IP地址,E.F.G.H是網路掩碼.

其實,在linux系統中我們可以給一塊網卡設置多個ip地址,例如下面的命令:
#ifconfig eth0:1 202.112.11.218 netmask 255.255.255.192

然後,使用命令#ifconfig -a 就可以看到所有的網路介面的界面:
eth0 Link encap:Ethernet HWaddr 00:90:27:58:AF:1A
inet addr:202.112.13.204 Bcast:202.112.13.255 Mask:255.255.255.192
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:435510 errors:0 dropped:0 overruns:0 frame:2
TX packets:538988 errors:0 dropped:0 overruns:0 carrier:0
collisions:318683 txqueuelen:100
Interrupt:10 Base address:0xc000

eth0:1 Link encap:Ethernet HWaddr 00:90:27:58:AF:1A
inet addr:202.112.11.218 Bcast:202.112.11.255 Mask:255.255.255.192
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
Interrupt:10 Base address:0xc000

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
UP LOOPBACK RUNNING MTU:3924 Metric:1
RX packets:2055 errors:0 dropped:0 overruns:0 frame:0
TX packets:2055 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
看到網路介面有三個,eth0 , eth0:1,lo,eth0是真實的乙太網絡介面,eth0:1和eth0是同一塊網卡,只不過綁定了另外的一個地址,lo是會送地址。
eth0和 eth0：
1可以使用不同網段的ip地址，這在同一個物理網段卻使用不同的網路地址的時候十分有用。

另外,網卡有一種模式是混雜模式(prosimc),在這個模式下,網卡將會接收網路中所有的數據包,一些linux下的網路監聽工具例如tcpmp,snort等等都是把網卡設置為混雜模式.

ifconfig命令可以在本次運行的時間內改變網卡的ip地址，但是如果系統重新啟動，linux仍然按照原來的默認的設置啟動網路介面。
這時候，可以使用netconfig或netconf命令來重新設置默認網路參數。netconfig 命令是重新配置基本的tcp/ip參數，參數包括是否配置為動態獲得ip地址（dhcpd和bootp），網卡的ip地址，網路掩碼，預設網關和首選的域名伺服器地址。
netconf命令可以詳細的配置所有網路的參數，分為客戶端任務，伺服器端任務和其他的配置三個部分，在客戶端的配置中，主要包括基本主機的配置（主機名，有效域名，網路別名，對應相應網卡的ip地址，網路掩碼，網路設備名，網路設備的內核驅動程序），
DNS地址配置，預設網關的地址配置，NIS地址配置，ipx介面配置，ppp/slip的配置等等。在伺服器端配置中，主要包括NFS的配置，DNS的配置， ApacheWebServer配置，Samba的配置和Wu-ftpd的配置
。在其他的配置選項中，一個是關於/etc/hosts文件中的主機配置，一個是關於/etc/networks文件中的網路配置信息，最後是關於使用linuxconf配置的信息。
在linuxconf命令下，同樣也可以配置網路信息，但是大家可以發現，linuxconf程序是調用netconf來進行網路配置的。

另外，在/etc/sysconfig/network-scripts目錄下存放著系統關於網路的配置文件，
範例如下：

：
<br><br>
ifcfg-eth0* ifdown-post* ifup-aliases* ifup-ppp*
ifcfg-eth1* ifdown-ppp* ifup-ipx* ifup-routes*
ifcfg-lo* ifdown-sl* ifup-plip* ifup-sl*
ifdown@ ifup@ ifup-post* network-functions
ifcfg-eth0是以太口eth0的配置信息，
它的內容如下：
DEVICE="eth0" /*指明網路設備名稱*/
IPADDR="202.112.13.204" /*指明網路設備的ip地址*/
NETMASK="255.255.255.192" /*指明網路掩碼*/
NETWORK=202.112.13.192 /*指明網路地址*/
BROADCAST=202.112.13.255 /*指明廣播地址*/
ONBOOT="yes" /*指明在系統啟動時是否激活網卡*/
BOOTPROTO="none" /*指明是否使用bootp協議*/
所以，也可以修改這個文件來進行linux下網路參數的改變。[/SIZE]
二 網路服務的配置

在這一部分,我們並不是詳細的介紹具體的網路伺服器(DNS,FTP,WWW,SENDMAIL)的配置(那將是巨大的篇幅),而是介紹一下與linux網路服務的配置相關的文件.
1. LILO的配置文件

在linux系統中,有一個系統引導程序,那就是lilo(linux loadin),利用lilo可以實現多操作系統的選擇啟動.它的配置文件是/etc/lilo.conf.在這個配置文件中,lilo的配置參數主要分為兩個部分,一個是全局配置參數,包括設置啟動設備等等.另一個是局部配置參數,包括每個引導影像文件的配置參數.
在這里就不詳細介紹每個參數,特別的僅僅說明兩個重要的參數:password和restricted選項,password選項為每個引導的影像文件加入口令保護. 都知道,在linux系統中有一個運行模式是單用戶模式,在這個模式下,用戶是以超級用戶的身份登錄到linux系統中.人們可以通過在lilo引導的時候加入參數(linux single 或linux init 0)就可以不需要口令直接進入單用戶模式的超級用戶環境中,這將是十分危險的.所以在lilo.conf中增加了password的配置選項來為每個影像文件增加口令保護. 可以在全局模式中使用password選項(對所有影像文件都加入相同的口令),或者為每個單獨的影像文件加入口令.
這樣一來,在每次系統啟動時,都會要求用戶輸入口令.也許覺得每次都要輸入口令很麻煩,可以使用restricted選項,它可以使lilo僅僅在linux啟動時輸入了參數(例如 linux single)的時候才會檢驗密碼.這兩個選項可以極大的增加系統的安全性,建議在lilo.conf文件中設置它們.
由於password在/etc/lilo.conf文件是以明文存放的,所以必須要將/etc/lilo.conf文件的屬性改為僅僅root可讀(0400).

另外,在lilo的早期版本中,存在著引導扇區必須存放到前1024柱面的限制,在lilo的2.51版本中已經突破了這個限制,同時引導界面也變成了圖形界面更加直觀.將最新版本下載解壓後,使用命令make" 後,使用命令make install即可完成安裝.
注意: 物理安全才是最基本的安全,即使在lilo.conf中增加了口令保護,如果沒有物理安全,惡意闖入者可以使用啟動軟盤啟動linux系統.
2. 域名服務的配置文件

(1)/etc/HOSTNAME 在這個文件中保存著linux系統的主機名和域名.範例文件

ice.xanet.e.cn

這個文件表明了主機名ice,域名是xanet.e.cn

(2)/etc/hosts和/etc/networks文件在域名服務系統中,有著主機表機制,/etc/hosts和/etc/networks就是主機表發展而來在/etc/hosts中存放著你不需要DNS 系統查詢而得的主機ip地址和主機名的對應,下面是一個範例文件:

# ip 地址 主機名 別名

127.0.0.1 localhosts loopback

202.117.1.13 www.xjtu.e.cn www

202.117.1.24 ftp.xjtu.e.cn ftp

在/etc/networks 中,存放著網路ip地址和網路名稱的一一對應.它的文件格式和/etc/hosts是類似的
(3)/etc/resolv.conf 這個文件是DNS域名解析器的主要配置文件,它的格式十分簡單,每一行由一個主關鍵字組成./etc/resolv.conf的關鍵字主要有:

domain 指明預設的本地域名,
search 指明了一系列查找主機名的時候搜索的域名列表,
nameserver 指明了在進行域名解析時域名伺服器的ip地址.
下面給出一個範例文件:
#/etc/resolv.conf
domain xjtu.e.cn
search xjtu.e.cn e.cn
nameserver 202.117.0.20
nameserver 202.117.1.9

(4)/etc/host.conf 在系統中同時存在著DNS域名解析和/etc/hosts的主機表機制時,由文件/etc/host.conf來說明了解析器的查詢順序.
範例文件如下
#/etc/host.conf
order
hosts,bind #
解析器查詢順序是文件/etc/hosts,然後是DNS
multi on #允許主機擁有多個ip地址
nospoof on #禁止ip地址欺騙
3. DHCP的配置文件
/etc/dhcpd.conf是DHCPD的配置文件,我們可以通過在/etc/dhcpd.conf文件中的配置來實現在區域網中動態分配ip地址,一台linux主機設置為dhcpd伺服器,通過鑒別網卡的MAC地址來動態的分配ip地址.
範例文件如下:
option domain-name "chinapub.com";
use-host-decl-names off;
subnet 210.27.48.0 netmask 255.255.255.192
{
filename "/tmp/image";
host dial_server
{
hardware ethernet 00:02:b3:11:f2:30;
fixed-address 210.27.48.8;
filename "/tmp/image";
}
}
在這個文件中，最主要的是通過設置的硬體地址來鑒別區域網中的主機，並分配給它指定的ip地址，hardware ethernet 00:02:b3:11:f2:30指定要動態分配ip的主機得網卡的MAC地址，fixed-address 210.27.48.8指定分配其ip地址。filename "/tmp/image"是通過tftp服務，主機所要得到的影像文件，可以通過得到的影像文件來引導主機啟動
4. 超級守候進程inetd的配置

在linux系統中有一個超級守候進程inetd,inetd監聽由文件/etc/services指定的服務的埠,inetd根據網路連接請求,調用相應的服務進程來相應請求.在這里有兩個文件十分重要,/etc/inetd.conf和/etc/services,文件/etc/services定義linu系統中所有服務的名稱,協議類型,服務的埠等等信息,/etc/inetd.conf是inetd的配置文件,由它來指定那些服務可以由 inetd來監聽,以及相應的服務進程的調用命令
.首先介紹一下/etc/services文件,/etc/services文件是一個服務名和服務埠對應的資料庫文件,
如下面所示:
/etc/services文件

(實際上,以上僅僅是/etc/services的一部分,限於篇幅沒有全部寫出)

在這個文件中,為了安全考慮,可以修改一些常用服務的埠地址,
例如可以把telnet服務的埠地址改為52323,www的埠改為8080,ftp埠地址改為2121等等,這樣僅僅需要在應用程序中修改相應的埠即可.這樣可以提高系統的安全性.

/etc/inetd.conf文件是inetd的配置文件, 首先要了解一下linux伺服器到底要提供哪些服務。一個很好的原則是" 禁止所有不需要的服務"，這樣黑客就少了一些攻擊系統的機會./etc/inetd.conf範例文件

大家看到的這個文件已經修改過的文件,除了telnet 和ftp服務,其他所有的服務都被禁止了.在修改了/etc/inetd.conf之後,使用命令kill -HUP (inetd的進程號),使inetd重新讀取配置文件並重新啟動即可.
5. ip route的配置

利用linux,一台普通的微機也可以實現高性價比的路由器.

首先了解一下linux的查看路由信息的命令:
[root@ice /etc]# route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
202.112.13.204 0.0.0.0 255.255.255.255 UH 0 0 0 eth0
202.117.48.43 0.0.0.0 255.255.255.255 UH 0 0 0 eth1
202.112.13.192 202.112.13.204 255.255.255.192 UG 0 0 0 eth0
202.112.13.192 0.0.0.0 255.255.255.192 U 0 0 0 eth0
202.117.48.0 202.117.48.43 255.255.255.0 UG 0 0 0 eth1
202.117.48.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
0.0.0.0 202.117.48.1 0.0.0.0 UG 0 0 0 eth1
命令netstat -r n 得到輸出結果和route -n是一樣的.它們操作的都是linux 內核的路由表.

命令cat /proc/net/route的輸出結果是以十六進製表示的路由表
.

[root@ice /etc]# cat /proc/net/route
Iface Destination Gateway Flags RefCnt Use Metric
Mask
eth0 CC0D70CA 00000000 0005 0 0 0 FFFFFFF
eth1 2B3075CA 00000000 0005 0 0 0 FFFFFFF
eth0 C00D70CA CC0D70CA 0003 0 0 0 C0FFFFF
eth0 C00D70CA 00000000 0001 0 0 0 C0FFFFF
eth1 003075CA 2B3075CA 0003 0 0 0 00FFFFF
eth1 003075CA 00000000 0001 0 0 0 00FFFFF
lo 0000007F 00000000 0001 0 0 0 000000F
eth1 00000000 013075CA 0003 0 0 0 0000000
通過計算可以知道,下面的這個路由表(十六進制)和前面的路由表(十進制)是一致的.
我們還可以通過命令route add (del )來操作路由表,增加和刪除路由信息.

除了上面的靜態路由,linux還可以通過routed來實現rip協議的動態路由.我們只需要打開linux的路由轉發功能,在/proc/sys/net/ipv4/ip_forward文件中增加一個字元
1.

三.網路的安全設置
在這一部分,再次強調一定要修改/etc/inetd.conf,安全的策略是禁止所有不需要的服務.
除此之外,還有以下幾個文件和網路安全相關.
(1)./etc/ftpusers ftp服務是一個不太安全的服務,所以/etc/ftpusers限定了不允許通過ftp訪問linux主機的用戶列表.當一個ftp請求傳送到 ftpd,ftpd首先檢查用戶名,如果用戶名在/etc/ftpusers中,則ftpd將不會允許該用戶繼續連接.範例文件如下:

# /etc/ftpusers - users not allowed to login via ftp
root
bin
daemon
adm
lp
sync
shutdown
halt
mail
news
uucp
operator
games
nobody
nadmin
(2)/etc/securetty 在linux系統中,總共有六個終端控制台,我們可以在/etc/securetty中設置哪個終端允許root登錄,所有其他沒有寫入文件中的終端都不允許root登錄.範例文件如下:
# /etc/securetty - tty's on which root is allowed to login
tty1
tty2
tty3
tty4
(3)tcpd的控制登錄文件/etc/hosts.allow和/etc/hosts.deny

在tcpd服務進程中,通過在/etc/hosts.allow和/etc/hosts.deny中的訪問控制規則來控制外部對linux主機的訪問.它們的格式都是

service-list : hosts-list [ : command]
服務進程的名稱 :
主機列表 可選,當規則滿足時的操作

在主機表中可以使用域名或ip地址,ALL表示匹配所有項,EXCEPT表示除了某些項, PARANOID表示當ip地址和域名不匹配時(域名偽裝)匹配該項.

範例文件如下:
#
# hosts.allow
This file describes the names of the hosts which are
# allowed to use the local INET services, as decided
# by the '/usr/sbin/tcpd' server.
#
ALL : 202.112.13.0/255.255.255.0
ftpd: 202.117.13.196
in.telnetd: 202.117.48.33
ALL : 127.0.0.1
在這個文件中,網段202.112.13.0/24可以訪問linux系統中所有的網路服務,主機202.117.13.196隻能訪問ftpd服務,主機202.117.48.33隻能訪問telnetd服務.本機自身可以訪問所有網路服務.

在/etc/hosts.deny文件中禁止所有其他情況:
#/etc/hosts.deny
ALL : DENY : spawn (/usr/bin