如何設定一個安全的log伺服器

在網上越來越多的 hacker 的出現，越來越多的高手出現的情況下。 如何才能確保自己可以保存一份完整的 log 呢?稍微有點概念的 hacker 都知道，進入系統後的第一見事情就是去清理 log，而發現入侵的最簡單最直接的方法就是去看系統紀錄檔。 現在我們來說說如何設定一個安全的 log 伺服器。

想想看，如果入侵者無法連結您的log伺服器，又如何能改您的 log 呢?現在我們來學習如何設定一個無 ip 的 log 伺服器。

現在，來介紹一下如何用 Snort來做三件事情∶

Stealth sniffer

stealth NIDS porbe

stealth logger

這一切都是用在一台沒有ip的伺服器上面的。 NIDS是Network Intrusion Dectection Server 的簡稱，也就是說入侵偵測伺服器。

為什麼要 stealth 呢?

在 internet 中運行任何一種服務，都是有一定的危險的。 不管是HTTP也好， ftp 也好， telnet 也好，總之都會有機會被 hack 入侵。 stealth logger 的獨特性可以讓我們在接收資料的同時，不發送任何的資料。 這樣外界的電腦(被 hack 入侵的電腦)就根本無法去更改 loger server 所收到的資訊。 也就是說保證了我們資訊的完整性，以及原始性。 為了確保 log 伺服器的安全，最好不要將 log 伺服器連接在網路中。 也就是說，當您需要檢查 logger 伺服器上得東西的時侯，您需要到電腦前，打開螢幕。 而不是遠端 login 進來。 但是，如果說您一定要連接網路的話的話，那麼請用兩個的介面來做。 也就是說兩片網卡，並且注意，第一，IP forwarding 一定要關閉。 第二就是，用來做 stealth logger 的介面是沒有 ip 的一張網卡，這張網卡必須不能跟另外一個有 ip 的網卡在同一網路下面。

設定：

首先當然是確定您的網卡安裝無誤，並且可以被 kernel 抓到。 然後把網卡所需要的 module 寫到 /etc/modules.conf 檔中。

現在我們來設定一個沒有 ip 的網卡介面。

編輯檔 /etc/sysconfig/network-scripts/ifcfg-eth0

DEVICE=eth0

USERCTL=no

ONBOOT=yes

BOOTPROTO=

BROADCAST=

NETWORK=

NETMASK=

IPADDR=

存檔後，用 ifconfig 來 active 我們的 eth0 介面。