如果你只有一臺電腦，那么對你而言花費大量的工夫仔細審查系統的弱點和問題是完全可能的。可能你并不真得希望這樣，但卻有此可能。不過，在現實世界中，我們需要一些好的工具來幫助我們監視系統，并向我們發出警告，告訴我們哪里可能出現問題，因此我們可以經常地輕松一下。入侵檢測可能是一種令我們操心的問題之一。不過，事情總有兩方面，幸好Linux的管理員們擁有可供選擇的強大工具。最佳的策略是采用分層的方法，即將“老當益壯”的程序，如Snort、iptables等老前輩與psad、AppArmor、SELinuxu等一些新生力量結合起來，借助強大的分析工具，我們就可以始終站在技術的前沿。

在現代，機器上的任何用戶賬戶都有可能被用來作惡。筆者認為，將全部的重點都放在保護root上，就好像其它用戶賬戶不重要一樣，這是Linux和Unix安全中一個長期存在的、慢性的弱點問題。一次簡單的重裝可以替換受損的系統文件，不過數據文件怎么辦？任何入侵都擁有造成大量破壞的潛力。事實上，要散布垃圾郵件、復制敏感文件、提供虛假的音樂或電影文件、對其它系統發動攻擊，根本就不需要獲得對root的訪問。

IDS新寵：PSAD

Psad是端口掃描攻擊檢測程序的簡稱，它作為一個新工具，可以與iptables和Snort等緊密合作，向我們展示所有試圖進入網絡的惡意企圖。這是筆者首選的Linux入侵檢測系統。它使用了許多snort工具，它可以與fwsnort和iptables的日志結合使用，意味著你甚至可以深入到應用層并執行一些內容分析。它可以像Nmap一樣執行數據包頭部的分析，向用戶發出警告，甚至可以對其進行配置以便于自動阻止可疑的IP地址。

事實上，任何入侵檢測系統的一個關鍵方面是捕獲并分析大量的數據。如果不這樣做，那只能是盲目亂來，并不能真正有效地調整IDS。我們可以將PSAD的數據導出到AfterGlow 和 Gnuplot中，從而可以知道到底是誰正在攻擊防火墻，而且是以一種很友好的界面展示。

老當益壯：Snort

正如一位可信任的老人，隨著年齡的增長，Snort也愈發成熟。它是一款輕量級且易于使用的工具，可以獨立運行，也可以與psad和iptables一起使用。我們可以從Linux的發行版本的程序庫中找到并安裝它，比起過去的源代碼安裝這應該是一個很大的進步。至于保持其規則的更新問題，也是同樣的簡單，因為作為Snort的規則更新程序和管理程序，oinkmaster也在Linux發行版本的程序庫中。

Snort易于管理，雖然它有一些配置上的要求。要開始使用它，默認的配置對大多數網絡系統并不適用，因為它將所有不需要的規則也包括在其中。所以我們要做的第一件事情是清除所有不需要的規則，否則就會損害性能，并會生成一些虛假的警告。

另外一個重要的策略是要以秘密模式運行Snort，也就是說要監聽一個沒有IP地址的網絡接口。在沒有為它分配IP地址的接口上，如ifconfig eth0 up，以-i選項來運行Snort，如snort –i eth0。還有可能發生這樣的事情：如果你的網絡管理程序正運行在系統中，那它就會“有助于”展現出還沒有配置的端口，因此建議還是清除網絡管理程序。

Snort可以收集大量的數據，因此需要添加BASE(基本分析和安全引擎)，以便于獲得一個友好的可視化的分析工具，它以較老的ACID(入侵數據庫分析控制臺)為基礎。