December 11
Anche se le violazioni della sicurezza ben pubblicizzati su server di Google in Cina è un pubblico, di alto profilo esempio di calcolo delle intrusioni di sistema, amministratori di sistema che controllano la scansione delle porte e tentativi di intrusione a volte vedere decine o centinaia di scansioni al giorno. scansioni delle porte e tentativi di intrusione sono molto più comuni di quanto si pensi. Sebbene la maggior parte dei ponti a casa Internet neutralizzare la maggior parte di queste scansioni e tentativi, le aziende che hanno bisogno di porte Internet esposti possono avere bisogno di un sistema di rilevamento delle intrusioni più robusto.
La forma più elementare di rilevamento delle intrusioni su Linux è Portsentry. Quando un hacker si rivolge a un sistema, un primo passo comune è quello di eseguire la scansione del sistema per le porte aperte. Una porta consente all'hacker di connettersi a un sistema per tentare di violare la sicurezza di quel porto. Portsentry rileverà una scansione delle porte e rilasciare tutti gli indirizzi IP future dall'indirizzo IP (Internet Protocol) da cui ha avuto origine la scansione. Portsentry è completamente configurabile e può e-mail i tentativi di scansione delle porte e gli IP provenienti da un amministratore per ulteriori indagini.
Linux Intrusion Detection System (coperchi) è un modulo a livello di kernel che aiuta le intrusioni di senso e funzionalità utente limiti della radice, come porta di accesso diretto o memoria e disco grezzo scrive. Protegge anche alcuni file di log per fermare un intruso di coprire le sue tracce o cambiare le regole del firewall. COPERCHI è installato come un modulo del kernel per rendere il processo unkillable a chiunque, inclusi gli utenti root. La premessa di base dei coperchi è quello di effettuare una chiamata kernel con ogni operazione di file per verificare se il file è protetto da coperchi e se l'utente è autorizzato ad accedere al file. Se non c'è una corrispondenza, un'intrusione viene rilevata sulla base di un modo in cui il sistema è configurato.
Snort è uno dei più compatibile dei sistemi antintrusione Linux. Esso combina un sistema altamente configurabile della firma, il protocollo e le ispezioni anomalie-based. Snort usa regole linguistiche flessibili per determinare quali dati devono essere bloccati come un'intrusione e quali dati dovrebbero essere autorizzati a passare. Offre i plug-in per creare un sistema espandibile per la rilevazione di nuovi o emergenti tipi di intrusioni. Esso può essere configurato come una ventosa di pacchetto base, un logger pacchetto o un sistema di rilevamento delle intrusioni di rete completa. Snort offre comunità scaricabile sviluppato regole di rilevamento delle intrusioni per aiutare a mantenere la sicurezza in tutto 300.000 utenti registrati di Snort.