Личный блог Suvan`a, посвященный безопасности Linux. Голосов: 1 Адрес блога: http://suvan.ru/ Добавлен: 2009-02-26 12:00:01 блограйдером feedsuvanru

Производительность и создание правил Snort.

2011-08-28 17:55:30 (читать в оригинале)

     Если у вас быстрое интернет-соединение (более 10 Мб), при запуске Snort на брандмауэре вы не заметите особого снижения производительности. Ситуация несколько иная, если Snort запускается внутри LAN. Поскольку скорости здесь значительно выше - от 100 Мб до 1 Гб, производительность может снизиться.

     Для решения этой проблемы вам нужно использовать утилиту Barnyard Logging - ее можно взять на сайте Snort. Когда она запущена, Snort передает ей свой вывод в двоичном виде для последующей обработки, что может несколько скрасить ситуацию с производительностью.

     Если использование Barnyard Logging особых результатов не дало, можно использовать модифицированную версию libpcap (http://public.lanl.gov/cpw/). Данная версия использует разделяемую память, в результате чего больше не нужно копировать данные из памяти ядра в пользовательскую память. Благодаря этому повышается производительность.

Читать полностью »

Обсудить

---

Обнаружение вторжений. Установка snort.

2011-04-06 08:49:26 (читать в оригинале)

     Системы обнаружения вторжения (Intrusion Detection System) выполняют мониторинг сети, что позволяет обнаружить различные атаки. Большинство IDS используют два метода обнаружения вторжения: на основании сигнатуры (IDS «знает» сигнатуру многих эксплоитов) и метод обнаружения аномалий (система сначала «изучает» типичные образцы сетевого трафика сети, а затем выявляет все отклонения от образца).

     Многие IDS позволяют блокировать подозрительный трафик, по умолчанию эта функция выключена — считается, что IDS должна просто обнаруживать вторжение, а не блокировать его.

Читать полностью »

Обсудить

---

Chkrootkit — антируткит

2011-04-06 08:33:51 (читать в оригинале)

     Chkrootkit (http://www.chkrootkit.org) — это просто антивирус, специализирующийся на руткитах — ведь троянская программа считается вирусом. Chkrootkit, кроме руткитов, позволяет обнаруживать и другой тип программ — червей. Текущая версия chkrootkit позволяет обнаружить более 50 вредоносных программ, среди них:

Читать полностью » Обсудить

---

Использование Tripwire

2010-12-02 08:21:01 (читать в оригинале)

     После того, как Tripwire установлен и сконфигурирован на рабочей системе, надо произвести проверку целостности. Эту процедуру можно сделать как в автоматическом режиме, так и вручную. С помощью Tripwire можно изменить базу данных, если изменения в файловой системе произошли с разрешения (или были сделано осознано).

     Автоматическая проверка.

     После того, как была создана база данных, Tripwire готов к употреблению. Если он был установлен с RPM, то будет параллельно добавлена задача cron: Tripwire будет запускаться ежедневно. Если же он был установлен вручную, для автоматической ежедневной проверки нужно создать файл twcheck в /etc/cron.daily:

#!/bin/sh

HOST_NAME= 'uname -n'

if [ ! -e /var/lib/tripwire/${HOST_NAME}.twd ]; then echo "*** Error: Tripwire database for ${HOST_NAME} not fountd"

echo "*** Run "/etc/tripwire/twinstall.sh" and/or "tripwire —init." else

test -f /etc/tripwire/tw.cfg && /usr/sbin/tripwire --check fi

Читать полностью »

Обсудить

---

Вышла новая ветка Wine 1.3.8

2010-12-02 08:11:20 (читать в оригинале)

Вышел новый релиз популярного эмулятора Wine 1.3.8, предназначенного для запуска Windows-программ в среде Linux.

     Wine позволяет пользователям запускать под Linux многие приложения, написанные для Windows, даже некоторые игры.

     Исправления и дополнения в новой версии:

Сам Wine и исходные коды можно скачать на официальном сайте: http://www.winehq.org/site/download

Обсудить