在網上越來越多的 hacker 的出現， 越來越多的高手出現的情況下.如何才能確保自己可以保存一份完整的 log 呢?稍微有點概念的 hacker 都知道，進入系統后的第一見事情就是去清理 log， 而發現入侵的最簡單最直接的方法就是去看系統紀錄文件.現在我們來說說如何設定一個安全的 log 服務器。

　　想想看，如果入侵者無法連結您的 log 服務器，又如何能改您的 log 呢?現在我們來學習如何設定一個無 ip 的 log 服務器。

　　現在，來介紹一下如何用 Snort 來做三件事情∶

　　Stealth sniffer

　　stealth NIDS porbe

　　stealth logger

　　這一切都是用在一臺沒有 ip 的服務器上面的. NIDS 是 Network Intrusion Dectection Server 的簡稱，也就是說入侵檢測服務器。

　　為什么要 stealth 呢?

　　在 internet 中運行任何一種服務，都是有一定的危險的.不管是 http 也好， ftp 也好， telnet 也好，總之都會有機會被 hack 入侵. stealth logger 的獨特性可以讓我們在接收資料的同時，不發送任何的資料.這樣外界的電腦(被 hack 入侵的電腦)就根本無法去更改 loger server 所收到的信息.也就是說保證了我們信息的完整性，以及原始性. 為了確保 log 服務器的安全，最好不要將 log 服務器連接在網路中。也就是說，當您需要檢查 logger 服務器上得東西的時侯，您需要到電腦前，打開屏幕.而不是遠端 login 進來.但是，如果說您一定要連接網路的話的話，那么請用兩個的介面來做.也就是說兩片網卡，并且注意，第一，IP forwarding 一定要關閉。第二就是，用來做 stealth logger 的介面是沒有 ip 的一張網卡，這張網卡必須不能跟另外一個有 ip 的網卡在同一網路下面。

　　設定：

　　首先當然是確定您的網卡安裝無誤，并且可以被 kernel 抓到.然后把網卡所需要的 module 寫到 /etc/modules.conf 文件中.

　　現在我們來設定一個沒有 ip 的網卡介面。

　　編輯文件 /etc/sysconfig/network-scripts/ifcfg-eth0

　　vim /etc/sysconfig/network-scripts/ifcfg-eth0

　　DEVICE=eth0

　　USERCTL=no

　　ONBOOT=yes

　　BOOTPROTO=

　　BROADCAST=

　　NETWORK=

　　NETMASK=

　　IPADDR=

　　存檔后，用 ifconfig 來 active 我們的 eth0 介面.

　　初試 stealth

　　這里我們用到了 snort 這個程式.如果您的電腦中沒有這個程式，可以到 www.snort.org 下載.

　　現在我們運行

　　snort -dvi eth0

　　這里 -d 的選項告訴 snort 對資料進行 decode (解碼)

　　-v 告訴 snort 將結果顯示在屏幕上面

　　-i 則是指定所需要的 interface

　　可以用 -C 選項告訴 snort 只顯示 ASCII 部份. 忽略 hexadecimal 資料.

　　?$snort -dviC eth0

　　Log directory= /var/log/snort

　　Initializing Network Interface eth0

　　kernel filter， protocol ALL， TURBO mode

　　(63 frames)， raw packet socket

　　--== Initializing Snort ==--

　　Decoding Ethernet on interface eth0

　　--== Initialization Complate ==--

　　-*> Snort! <*-

　　Version 1.8.4 (Build 99)

　　By Martin Roesch (roesch@sourcefire.com，

　　www.snort.org)

　　......

　　......

　　......

　　NIDS(入侵偵測) 入侵檢測本身是一件很復雜的事情。snort 本身也提供了強大的入侵檢測的功能。這里我只做一個簡單的介紹，好讓大家有一個概念.如果真正實體去做一個 NIDS 的話.需要些更復雜的動作.例如設定更完善的 rules， 定時更新 snort.conf 中所定義的 rules (當新的攻擊方式出現以后，要及時更新)