我的一亩三分地 我就喜欢!
13fen  设为主页
 收藏本站
 
当前位置: > 一亩三分地:首页 > 操作系统 > Linux > 安装设置 > 终止恶意行为——安装Snort+Guardian
热门文章排行
热门文章排行 一步一步的制作arm-linux交叉编译环(12-05)
深入理解硬盘的Linux分区(12-22)
深入浅出定制Linux系统环境变量(12-05)
Linux常用基本命令(二)(10-13)
红旗Linux5.0桌面正式版光盘安装{图(11-15)
精采文章排行
精采文章排行 vi基本技巧(11-16)
Linux历史篇(11-16)
Linux不是Windows(11-16)
第一次进入红旗后,应该做的几件事(11-15)
详解linux与win分区格式(11-15)
技术专题推荐
网管论坛交流
 

终止恶意行为——安装Snort+Guardian 

作者:佚名   来源:Linux 宝库   点击:   日期:2006-12-22

  Snort 是一个开源的轻量级入侵监测系统,可以监测网络上的异常情况,给出报告。
  Guardian是基于Snort+IPTables的一个主动防火墙,它分析Snort的日志文件,根据一定的判据自动将某些恶意的IP自动加入IPTables的输入链,将其数据包丢弃。
  我自使用Snort+Guardian以来,每天可以看到很多的恶意行为被终止。
  
  安装步骤:
  1.安装Snort:
  *现在Snort & Guardian,目前下载地址为:
  http://www.snort.org/dl/snort-2.3.0RC2.tar.gz
  http://www.snort.org/dl/contrib/other_tools/guardian/guardian-1.6.tar.gz
  
  *将上述文件拷贝至/tmp
  *tar zxvf *.tgz
  *cd snort-2.3.0RC2
  *./configure
  *make
  *make install
  *mkdir /etc/snort
  *cd /etc/snort
  *wget http://www.snort.org/dl/rules/snortrules-snapshot-CURRENT.tar.gz
  * tar zxvf snortrules-snapshot-CURRENT.tar.gz
  *mkdir /var/log/snort
  *cd /etc
  *vi snort.conf
  修改后一些关键设置如下:
  var HOME_NET yournetwork
  var RULE_PATH /etc/snort/rules
  preprocessor http_inspect: global iis_unicode_map /etc/snort/rules/unicode.map 1252
  include /etc/snort/rules/reference.config
  include /etc/snort/rules/classification.config
  
  如:yournetwork 220.8.0.0/16
  
  同时,可以选择将类似 include $RULE_PATH/local.rules等,前面的#号去掉,设置自己的规则集。
  
  * /usr/local/bin/snort -D -l /var/log/snort -c /etc/snort.conf
  
  * 将上一条命令写入/etc/rc.d/rc.local
  
  2.安装guardian---需要perl支持
  
  * cd /tmp
  * tar zxvf guardian-1.6.tar.gz
  * cd guardian-1.6
  * echo > /etc/guardian.ignore
  * cp guardian.pl /usr/local/bin/.
  * cp scripts/iptables_block.sh /usr/local/bin/guardian_block.sh
  * cp scripts/iptables_unblock.sh /usr/local/bin/guardian_unblock.sh
  * cp guardian.conf /etc/.
  * vi /etc/guardian.conf
  如下:
  HostGatewayByte 1
  # guardian的日志文件
  LogFile /var/log/guardian.log
  
  #guardian从何处读取snort的日志
  AlertFile /var/log/snort/alert
  
  #将你需要忽略的IP放在此文件中
  IgnoreFile /etc/guardian.ignore
  
  # 封锁IP的最长时间,99999999为没有时限
  TimeLimit 86400
  
  * /usr/bin/perl /usr/local/bin/guardian.pl -c /etc/guardian.conf
  * 将上一条命令加入 /etc/rc.d/rc.local
  
  至此,完成设置。
  
  注意:
  1)snort的规则文件经常更新,可以使用如下脚本自动更新:
  #!/bin/sh
  cd /etc/snort
  wget http://www.snort.org/dl/rules/snortrules-snapshot-CURRENT.tar.gz
  tar zxvf snortrules-snapshot-CURRENT.tar.gz
  exit 0
  
  *将上述脚本存为snortupdate,并放置到/etc/cron.daily/下,可以每天更新一次。
  
  2)guardian有时会自动退出,可以使用如下脚本解决:
  #!/bin/sh
  /usr/local/bin/killguardian
  /usr/local/bin/guardian.pl -c /etc/guardian.conf
  exit 0
  
  将上述脚本存为restartguardian,放置到/usr/local/bin 。
  
  同时,crontab -e,加入如下一句:
  * */6 * * * /usr/local/bin/restartguardian
  
  意思为:每6小时重新启动guardian。
  
  脚本:killguardian
  #!/usr/bin/perl
  #杀死当前guardian.pl进程,需要安装perl module Proc::ProcessTable
  #访问http://www.cpan.org可以获得上述module
  use Proc::ProcessTable;
  
  $t = new Proc::ProcessTable;
  
  foreach $p (@{$t->table})
  {
  
  kill 9, $p->pid if $p->cmndline =~ 'guardian.pl';
  
  }
  
  Garfield
  A lazy, fat CAT I am!






文章评论】 【收藏本文】 【推荐好友】 【打印本文】 【论坛讨论

   相关文章:
·Linux内核SimulatorFramework入门 ·RedHat9.0下带认证的Sendmail邮件服务器
·轻松安装RedHat9.0 ·安装过windows后如何安装linux
·深入理解硬盘的Linux分区 ·在虚拟pc上安装linux操作系统

   文章评论:(条)
  
 请留名: 匿名评论   点击查看所有评论 网管论坛
 

  责任编辑:一分  声明:刊登此文章是为了传递更多信息,文章内容仅供参考,转载请注明出处。