关于【ids】的问题- 第1页

Jason

Asked: 2017-02-23 05:41:14 +0800 CST

snort 和 suricata 之间有什么真正的区别吗？

3

期待在几个 FreeBSD 防火墙上部署 IDS/IPS，我很好奇 snort 和 suricata 之间的区别。我知道 Suricata 是多线程的，但就规则处理和其他它们的工作方式而言，有什么真正的区别应该让我选择另一个吗？

batflaps

Asked: 2016-08-20 13:47:01 +0800 CST

我有一个 KVM 虚拟化服务器，它提供一个映射到 eth0 的 br0 网桥。我想为我正在测试的 IDS 虚拟机添加 eth2 作为 br2 的桥接，但客户操作系统没有将 br2 或 eth2 视为有效接口。我在 eth2 上运行 tcpdump 并且可以验证它正在查看数据包，所以我知道我有一个有效的源并且该接口具有使用ifconfig eth2 promisc up. 这是我的 /etc/network/interfaces 文件：

auto lo
iface lo inet loopback

auto eth0
iface eth0 inet manual

auto br0
iface br0 inet static
    address 1.2.3.4
    netmask 255.255.255.0
    gateway 1.2.3.1
    bridge_ports eth0
    bridge_fd 9
    bridge_hello 2
    bridge_maxage 12
    bridge_stp off

auto eth2
iface eth2 inet manual

auto br2
iface br2 inet static
    up ifconfig br2 promisc up
    down ifconfig br2 promisc down
    bridge_ports eth2
    bridge_fd 9
    bridge_hello 2
    bridge_maxage 12
    bridge_stp off

我错过了什么？

Trent

Asked: 2016-04-11 02:20:28 +0800 CST

Fail2Ban 登录过滤器在 Debian Web 服务器上不起作用

0

因此，我无法将 Fail2Ban 用作 Web 应用程序登录的自定义过滤器。首先，其他过滤器确实有效，例如 NGINX Auth。但是，我的电子邮件已经停止工作，不知道为什么。

这些是 /var/log/auth.log 中失败的登录尝试

Apr  1 11:28:15 user pancake[17973]: Attempt to login as random failed. 127.0.0.1 (Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_4) AppleWebKit/601.5.17 (KHTML, like Gecko) Version/9.1 Safari/601.5.17)

Apr  1 11:28:39 user pancake[17974]: Attempt to login as admin failed. 127.0.0.1 (Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_4) AppleWebKit/601.5.17 (KHTML, like Gecko) Version/9.1 Safari/601.5.17)

我的监狱（/etc/fail2ban/jail.local）：

[pancake]

enabled  = true

port     = http,https

filter   = pancake

logpath  = /var/log/auth.log

maxretry = 4

我的过滤器（/etc/fail2ban/filter.d/pancak.conf）

[INCLUDES]

# Read common prefixes. If any customizations available -- read them from

# common.local

before = common.conf

[Definition]

_daemon = pancake

failregex = Attempt to login as .* failed. <HOST>$

ignoreregex =

现在，当我通过运行进行测试时：

sudo fail2ban-regex /var/log/auth.log /etc/fail2ban/filter.d/pancake.conf

我得到：

Running tests

=============

Use   failregex file : /etc/fail2ban/filter.d/pancake.conf

Use         log file : /var/log/auth.log

Results

=======

Failregex: 0 total

Ignoreregex: 0 total

Date template hits:

|- [# of hits] date format

|  [2708] MONTH Day Hour:Minute:Second

`-

Lines: 2708 lines, 0 ignored, 0 matched, 2708 missed

我也尝试过使用：

failregex = ^%(__prefix_line)sAttempt to login as .* failed. <HOST>$

任何帮助都会很棒。

谢谢特伦特

lisa1987

Asked: 2012-05-13 09:37:21 +0800 CST

OSSEC大规模部署

10

我们有一个数据中心，作为一个快乐的OSSEC用户，我试图说服我的管理层将它用于主机入侵检测。然而，我从未将它部署在超过几台服务器上，我不确定它是否可以扩展。

有人大规模部署过OSSEC （比如 500 多台服务器）吗？它有规模吗？

daniels

Asked: 2010-02-24 11:19:49 +0800 CST

有没有可用于端口扫描监控的 Linux 应用程序？

5

如果某些 ip 正在端口扫描服务器，它将在后台运行并在邮件中提醒我。

snort 和 suricata 之间有什么真正的区别吗？

Promisc 接口 IDS 的 KVM 桥接器

Fail2Ban 登录过滤器在 Debian Web 服务器上不起作用

OSSEC大规模部署

有没有可用于端口扫描监控的 Linux 应用程序？

新安装后 postgres 的默认超级用户用户名/密码是什么？

SFTP 使用什么端口？

命令行列出 Windows Active Directory 组中的用户？

什么是 Pem 文件，它与其他 OpenSSL 生成的密钥文件格式有何不同？

如何确定bash变量是否为空？

问题[ids](server)