Как выявлять попытки вторжения в Linux

Классная статья, респект автору.

Статья полезная. Написана толково. Автор - молодец!

Кое-что о snort.. ;-)

С точки зрения лицензий всё кошерно (GPL), так что придется изучить, когда найдется немного времени. :)

в одно прекрасное утро надоест разгребать варнинги от снорта..

> в одно прекрасное утро надоест разгребать варнинги от снорта..

При грамотной настройке правил, snort можно спокойно держать и в кошачьем тазике.

мне надоели эти алерты. если софт дырявый, то нафига снортом прикрываться? обновиться, докодить, прикрыть дыру. глянул я правила в снорте, ну фигня фигнёй, где оно вообще применительно?

рулез!

автору ришпект!

З.Ы. на анонимные вопли не стоит обращать внимание :))

Текста много, смысла мало.

> Важно заметить, что у configure существует множество довольно интересных опций.

И дальше перечисление стандартных опций (--prefix, --exec-prefix, --with-PACKAGE) из autoconf'а. Аффтор важно заметил. Довольно интересные опции.

Глупые анонимусы )) "Security is a process, not a product"

Snort + http://www.intrulock.com - вот и сила...

Что за Х###Я?

> В свою очередь Snort получает пакеты не от библиотеки libpcap, а от iptables.

> Конечно, запуск должен осуществляться с правами суперпользователя, так как основа Snort построена на использования библиотеки libpcap. Libpcap и осуществляет прослушивание всего трафика.

Аффтар, выпий йаду!

Snort используется везде так же, как и антивирус: "мы ему поставим базы, а он нам будет всё ловить"

При этом мало кто занимается строительством системы предупреждений, потому что мало оценить насколько в данном контексте срабатывание данного правила важно, требуется ещё знать сигнатуры, на основе которых составлять это правило.

То, что там в базах есть, актуально только для "глобального интернета" - интернета "в общем", а у меня конкретная сеть, с конкретными му**ками снаружи и внутри, они любят "свои методы".

Для них большинство тех правил, которые там есть совершенно неактуально. Даже если и срабатывают эти правила (изредка или часто) для меня это не является сигналом об опасности.

А кому надо експлойт написать и шеллкод туды вставить посмотрят на эти базы правил и напишут так, чтобы правила не сработали.

IMHO не панацея, даже опасно, когда администратор не в теме берёт и ставит Snort и перестаёт заботится о безопасности, типа всё защищено. Много у нас администраторов в теме?

Во-первых, "а нет ли у вас введения в cat? (c)". Иными словами статья не стоит и выеденного яйца.
А во-вторых, чтобы 2-3 машины мониторить снорт нафиг не снился, а при больших масштабах подшефного хозяйства он мрет. Аппаратные мониторилки рулят. Сабж втопку.
Точка.

статья фуфуло, программа вредна.

>IDS Snort может работать на многих операционных системах :Linux, Windows, >IRIX, SunOS, *BSD и др. Поскольку настройка на всех платформах одинакова, то я >рассмотрю версию для Linux.

Нетолько Linux ;)

боян

Ценный совет ставить машину со snort до firewall, чтобы её побыстрее раскатали под орех. Лучше уж с горшком мёда позабавиться.

Как им всё-таки пользоваться? На моём дистрибутиве он сам ставится без никаких ковыряний в носу, только как сформировать логи? В основном всё забито переведённым на русский конфигом (у меня то-же но по аглицки).

Вот запустил я демон snortd, и чего мне теперь через него делать можно? В этом мануале не так просто разобраться, проще зазаблудиться запутавшись в разнице между конфигом, логом и командой для snort. Кто читал ещё маны? Подскажите куда смотреть!