Я хочу максимальную безопасность для моего Linux vps. Я нашел много руководств в сети, но они не охватывают Snort. Только такие, как portentry, logsentry, tripwire и так далее.
Итак, я начинаю думать, что Snort не подходит для хоста Linux. Я думаю, что он подходит только в качестве прокси / посредника, который проверяет трафик перед тем, как перейти к конкретным целям.
Я хотел бы спросить, можно ли установить Snort на VPS, который обслуживает типичные серверы, такие как веб / почта.
Может ли Snort быть в затруднительном положении с OSSEC, который, я думаю, проверяет не трафик, а файлы журнала только для обнаружения вторжений / аномалий?
Спасибо.
Snort может потреблять много памяти, что может быть проблемой на VPS. Он может отлично работать вместе с ossec - оба они включены в Ossim, который коррелирует события информационной безопасности из разных источников.
Я бы сказал, что для одного VPS это, вероятно, перебор. Если вы постоянно обновляете свое программное обеспечение в соответствии с любыми выпусками безопасности, имеете хорошие настройки конфигурации, используете tripwire и отслеживаете журналы, то вы делаете действительно хорошую работу. И если вы защищаете всю сеть, я бы подумал о запуске ossim на выделенном сервере.
Если вы используете Apache, подумайте о mod_security, чтобы защитить потенциально уязвимые сценарии, которые вы размещаете. И, наконец, проявите инициативу в обеспечении безопасности, просканируя свой ящик на наличие уязвимостей с помощью чего-то вроде Nessus.
Snort можно настроить как HIDS (Host Intrustion Detection System).
Самая важная конфигурация, которая вам понадобится:
Home_net -> server.IP
External_net -> !$HOME_NET
Snort может отслеживать некоторые ресурсы хост-системы с помощью соответствующих сигнатур, однако OSSEC должен соответствовать вашим потребностям, поскольку требует меньших накладных расходов.
Я думаю, что ShoreWall не использует много ресурсов, таких как Snort. http://www.shorewall.net/
Snort - это NIDS, это действительно хорошая программа (моя любимая IDS), но для других целей вам следует реализовать систему обнаружения вторжений хоста (HIDS), например OSSEC, не только является более эффективным решением, но также предлагает несколько способов проверки более конкретных функций, которые более удобны для использования на хостах (порт USB, мониторинг файлов и т. д.). Вы потратите впустую всю мощь и ресурсы Snort, OSSEC может защитить ваш сервер более простым способом.