对于连接在Internet上的系统，可以说威胁无时不在。不计其数的潜在攻击者经常让系统管理员防不胜防。如果能及早检测到入侵者的踪迹，尽快洞察入侵者的意图，系统管理员将会非常的主动。在Solaris操作系统中有一个BSM（基本安全模块），可以将内核日志做得非常细致，这对管理员非常有帮助。而现在，Linux中也可以做到这一点了。

    Linux上的NDS

    SNARE是一个基于主机的、专为Linux设计的IDS(入侵检测系统)。当我第一次听到SNARE时，我决定安装并且对其进行试用。在测试中，我发现它的确是一个非常不错的用于审查Linux内核事件的插件程序，并且它是免费的，还易于安装和配置。本文将向你介绍如何安装、测试以及在实际中使用它。

    SNARE是一个专门用于SNA(System iNtrusion Analysis)和RE(Reporting Environment)的自由软件。它由澳大利亚IT安全咨询公司InterSect Alliance生产。通过该产品的网站(http://www.intersectalliance. com/projects/Snare)，得知该公司开始SNARE项目是想“通过为Linux提供全面的事件日志功能来增强其安全性”。他们认为，Linux之所以没有被更多的IT企业所完全接受，正是因为其缺少了一个功能全面的日志工具。因此，他们才决定开发了这样一个可以作为动态加载的Linux内核模块。这个模块实际上是一个监控程序。

    “更全面的记录功能”包括对以下信息的记录：

    ◆ 打开和接受网络连接

    ◆ 读写文件和目录

    ◆ 修改用户的身分或用户组

    ◆ 修改程序的使用

    根据对SNARE的配置，当一个用户或者入侵者终止了某一个关键程序、切换到了root账号或者在关键的系统目录下安装了文件等，我们都可以检测到。此外，SNARE可以审查系统调用本身，比如什么时候一个文件被打开或者被重命名、什么时候执行了reboot、什么时候使用了mkdir或者mknod命令等等。

    需要注意的是，安装一个基于主机的入侵检测系统并不能为系统提供保护。它的目的是帮助管理员对潜在的攻击进行分析和记录。所以本文假设你安装SNARE的服务器已经通过关闭不需要的服务、改变缺省的文件访问权限和安装了最新的补丁程序等措施使系统变得更加的稳固。

    SNARE的应用程序包可以在InterSect的网站上(http://www.intersectalliance.com/projects/Snare)下载。SNARE分为两部分：核心包和GUI。网上有用于Red Hat 7.1和Red Hat 7.2的rpm格式的程序包，也有源代码包可供下载。我喜欢使用源代码进行安装，这样可以确保程序在我的系统环境下正确地运行，所以我下载的是最新的源代码，现在是0.9版。在Red Hat 7.1里，需要两个文件，分别为snare-0.9.tar.gz和snare-core-0.9.tar.gz。

    运行以下命令解开压缩：

    #gunzip snare-core-0.9.tar.gz

    #tar xvf snare-core-0.9.tar

    SNARE发行版很小，其中还包括一些可以在InterSect的站点上找到的文档。在所下载的文件中，auditd监控程序已经被编译过，当然，你可以使用以下命令将其重新编译：

    #make clean

    #make

    #make install

    auditd监控程序会被安装到/usr/sbin下。此外，一个用于记录开始/停止的脚本会被放在/etc/init.d目录下。可以切换到/etc/init.d目录，然后敲入以下命令来启动auditd进程：

    #./audit start

    下面安装GUI。首先切换到snare-0.9目录下，然后敲入以下几行命令：

    #./autogen.sh

    #./make

    #./make install

    这样，这些GUI文件就会被拷贝到/usr/local/share目录下。这一切都完成以后，我们就可以使用以下命令来运行程序了：

    #snare &

    图1GUI的外貌

    配置

    SNARE安装完成并开始运行后，还需要对其进行一些配置。就像syslogd监控程序有syslog.conf一