Security

精簡但有效的 linux IDS / IPS / WAF?

  • March 14, 2014

我正在為我的微型 VPS 網路伺服器尋找一個精簡但有效的 IDS/IDP/WAF 解決方案。

目前我已經使用了 iptables 和 psad,但是很多 Web 伺服器掃描嘗試都失敗了。我使用 ngingx,但更喜歡獨立於 Web 伺服器的解決方案。

什麼是保護我的微型伺服器免受不斷掃描的惡意軟體機器人的精簡和有效的方法?最好是低維護 - VPS 也不是太強大。

非常感謝您的提示和建議。

如果它只是一個您想要保護的 Web 應用程序,那麼 ModSecurity 將是我的第一個建議,儘管您說您想要 Web 伺服器獨立性。

替代方案通常包括 Snort、OSSEC、Bro、Fail2Ban 和 company。每個都有其優點和缺點。OSSEC 和 Fail2Ban 可以讀取日誌文件並更新防火牆規則,但對分佈式殭屍網路基本上無效。他們會發現個人嘗試,但許多機器人通常會一次嘗試一次,每次嘗試都會有很長的延遲。話雖如此,有很多愚蠢的人不斷敲門。

Snort 之類的東西有點重,需要小心處理以避免大量誤報,儘管作為一個盒子而不是整個網路,它應該更容易一些。此外,您還必須創建自己的操作,例如使用 Fail2Ban 來讀取日誌。

另一方面,經過精心調整的 ModSecurity 可能會以比 Snort 和 co 更少的努力為您提供更好的結果。它已經被設計用來保護你想要保護的東西,而不是像其他人一樣成為通才。

引用自:https://serverfault.com/questions/582230