Назад | Перейти на главную страницу

Как я могу поставить snort перед сервером nginx

Я хочу предотвратить атаки на мой сервер nginx. Как я могу проксировать запросы через snort на сервер nginx.

NFQueue - это решение. Я могу передавать пакеты для snort, используя следующие правила

sudo snort -Q --daq nfq --daq-var --daq-var queue=1 -c /etc/snort/snort.conf

Теперь я создал очередь

sudo /usr/sbin/iptables -t nat -I PREROUTING -j NFQUEUE --queue-num 1
sudo /usr/sbin/iptables -I FORWARD -j NFQUEUE --queue-num 1

Этого достаточно, или нам нужно заняться чем-то еще, кроме этого.

Nginx работает в той же системе, что и snort.

Если ваш вопрос касается настройки Snort в качестве IPS для защиты вашего сервера, я считаю, что вы следовали правильным инструкциям по его настройке. Созданные вами правила кажутся законными; вам нужно будет загрузить и поддерживать правила в актуальном состоянии (я думаю, что PulledPork или Oinkcodes могут помочь), если вы еще этого не сделали, и протестировать. Также может быть удобно создать службу для запуска / перезапуска / остановки Snort.

Если вы хотите знать, достаточно ли использования Snort для защиты вашего веб-сервера, к сожалению, ответ будет отрицательным ...

немного не по теме: исходя из вашего сценария, запуск snort of protect nginx / web-request может быть немного завышенным. Кроме того, snort будет бесполезен, если вы используете https в своем nginx.

если вашей основной целью является защита от сетевых атак, то вы можете проверить Naxsi, действительно красивое и быстрое решение для nginx, которое намного превосходит mod_security, за исключением некоторых особых случаев. есть также расширенный набор правил для naxsi, докси-правила, который происходит от возникающие угрозы - snort-rules.