環(huán)境 RedHat 7.3
在網(wǎng)上越來越多的 hacker 的出現(xiàn), 越來越多的高手出現(xiàn)的情況下.如何才能確保自己可以保存一份完整的 log 呢？稍微有點概念的 hacker 都知道,進入系統(tǒng)后的第一見事情就是去清理 log, 而發(fā)現(xiàn)入侵的最簡單最直接的方法就是去看系統(tǒng)紀錄文件.現(xiàn)在我們來說說如何設定一個安全的 log 服務器.
想想看,如果入侵者無法連結您的 log 服務器,又如何能改您的 log 呢？現(xiàn)在我們來學習如何設定一個無 ip 的 log 服務器.
現(xiàn)在,來介紹一下如何用 Snort 來做三件事情：
· Stealth sniffer
· stealth NIDS porbe
· stealth logger
這一切都是用在一臺沒有 ip 的服務器上面的. NIDS 是 Network Intrusion Dectection Server 的簡稱,也就是說入侵檢測服務器.
為什么要 stealth 呢？
在 internet 中運行任何一種服務,都是有一定的危險的.不管是 http 也好, ftp 也好, telnet 也好,總之都會有機會被 hack 入侵. stealth logger 的獨特性可以讓我們在接收資料的同時,不發(fā)送任何的資料.這樣外界的電腦（被 hack 入侵的電腦）就根本無法去更改 loger server 所收到的信息.也就是說保證了我們信息的完整性,以及原始性. 為了確保 log 服務器的安全,最好不要將 log 服務器連接在網(wǎng)路中.也就是說,當您需要檢查 logger 服務器上得東西的時侯,您需要到電腦前,打開屏幕.而不是遠端 login 進來.但是,如果說您一定要連接網(wǎng)路的話的話,那么請用兩個的介面來做.也就是說兩片網(wǎng)卡.并且注意,第一, IP forwarding 一定要關閉.第二就是,用來做 stealth logger 的介面是沒有 ip 的一張網(wǎng)卡,這張網(wǎng)卡必須不能跟另外一個有 ip 的網(wǎng)卡在同一網(wǎng)路下面.
設定
首先當然是確定您的網(wǎng)卡安裝無誤,并且可以被 kernel 抓到.然后把網(wǎng)卡所需要的 module 寫到 /etc/modules.conf 文件中.
現(xiàn)在我們來設定一個沒有 ip 的網(wǎng)卡介面.

編輯文件 /etc/sysconfig/network-scripts/ifcfg-eth0
vim /etc/sysconfig/network-scripts/ifcfg-eth0
DEVICE=eth0
USERCTL=no
ONBOOT=yes
BOOTPROTO=
BROADCAST=
NETWORK=
NETMASK=
IPADDR=

$snort -dviC eth0
Log directory= /var/log/snort
kernel filter, protocol ALL, TURBO mode
(63 frames), raw packet socket
 --== Initializing Snort ==--
Decoding Ethernet on interface eth0
--== Initialization Complate ==--
-*> Snort! <*-
Version 1.8.4 (Build 99)
By Martin Roesch (roesch@sourcefire.com,
www.snort.org)