LIDS FAQ 阅读笔记

清源

这几天一直在学习LIDS，从LIDS主站www.lids.org上下载了一个LIDS　FAQ的英文文档，阅读时觉得很轻松，从一问一答中能很好地学到知识。在阅读的同时，我把一些重要的问答翻译成中文记了下来，一方面方便以后自己以后查阅，另一方面能加深对LIDS的记忆。
　好东西不敢独享，在此把笔记给贴出来，希望对某些正在找这方面资料的朋友有点帮助。我也是刚开始学习LIDS的，有不对的地方，还请名位指正。
　
　　　　　　　　　　　　　LIDS　FAQ
1、我怎样应用LIDS内核补丁包？
　解决此问题时假设你的内核文件在/usr/src/linux下。
首先，你需要从www.lids.org/download.html下载LIDS补丁包，一定要确定你下载的LIDS补丁包的版本与你系统内核版本相匹配。
然后，解压LIDS补丁压缩包：
　tar -zxvf lids-lids_version_kernel_version.tar.gz #用实际LIDS包名代替后面的压缩包
应用LIDS补丁包到存在的内核资源：
　cd /usr/src/linux
   patch -p1 < /path/to/lids/patch/lids-lids_version_kernel_version.tar.gz #用真正的LIDS补丁包的路径代替命令后的路径
最后，配置你的内核，选择加入相应LIDS项，然后重新编译你的LINUX内核。要使LIDS能够工作，你还应保证下列选项已编译进内核中：

Prompt for development and/or incomplete code drivers

Sysctl support
2、怎样安装LIDS管理工具（LIDSADM＆LIDSCONF）？
　注意：如果你是更新LIDS，那么你首先应备份/etc/lids/目录下所有的文件。
安装过程如下：
　tar -zxvf lidstools-version.tar.gz
   cd lidstools-version
   ./configure
    make
    make install
这样会安装LIDSADM和LIDSCONF到/sbin/目录中，同时会创建一个/etc/lids的目录，并在此目录下生成一个默认的配置文件，在使用LIDS前应先更新这个默认的配置文件（lidsadm -U)。
3、当我试图编译LIDSAMD时，GCC报告LIDSTEXT.h不存在，我将怎样修复此问题？
　当系统中/usr/src/include/linux没有符号连接到/usr/src/linux/include/linux时就会出现此问题。
修复方法：编辑在LIDSADM资源目录中的MAKEFILE文件，在其中的CFLAGS选项加入“－I/usr/src/linux/include”，然后你就可以重新编译了。
4、什么是LIDSADM？
　LIDSAMD是LIDS的管理工具单元，可以用它在你的系统中管理LIDS，包括启用或停用LIDS、封存LIDSADM到内核中和查看LIDS状态。
5、什么是LIDSCONF？
　LIDSCONF为LIDS配置访问控制列表（ACLS）和设置密码。
注意：在以前LIDSADM1.1.0版本中，LIDSAMD执行所有现在LIDSCONF的功能。
6、LIDSADM有哪些可用的选项？
　使用如下命令可以列出所有可用的选项：
　lidsadm -h
它会返回下列信息
......
lidsadm -[s/I] -- [+/-] [LIDS_FLAG] [...]
lidsadm -v
lidsadm -h
命令参数：
－s:开关某些保护选项时指示应提交密码；
－I：开关某些保护选项时不提交密码；
－v：显示版本；
－V：查看现在LIDS状态；
－h：列出所有选项。
Availabe capabilities：（一部份）
CAP＿CHOWN：chown/chgrp
CAP＿NET＿BROADCAST：监听广播
CAP＿NET＿ADMIN：接口、防火墙、路由器改变
CAP＿IPC＿LOCK：锁定共享内存
CAP＿SYS＿MODULE：插入和移除内核模块
CAP＿HIDDEN：隐藏进程
CAP＿SYS＿RESOURCE：设置资源限制
CAP＿KILL＿PROTECTED：杀死保护进程
CAP＿PROTECTED：保护进程为单用户方式
可用的标志（Available flags):
LIDS:禁止或激活本地LIDS
LIDS＿CLOBAL：完全禁止或激活LIDS
RELOAD＿CONF：重新加载配置文件
7、LIDSCONF有哪些可用的选项？
　输入以下命令能显示所有可用的选项：
　lidsconf -h
它会返回以下信息：
......
lidsconf -A [-s subject] -o object [-d] [-t from-to] [-i level] -j Accept
lidsconf -D [-s file] [-o file]
lidsconf -E
lidsconf -U
lidsconf -L
lidsconf -P
lidsconf -v
lidsconf -[h/H]
命令参数：
－A：增加一条指定的选项到已有的ACL中
－D：删除一条指定的选项
－E：删除所有选项
－U：更新dev/inode序号
－L：列出所有选项
－P：产生用Ripemd-160加密的密码
－V：显示版本
－h：显示帮助
－H：显示更多的帮助
子对像（subject）：
－s [--subject]：指定一个子对像，可以为任何程序，但必须是文件；
目标（object）：
－o[object]：可以是文件、目录或功能（capabilities）和socket名称。
动作：
－j：它有以下在个参数：
DENY：禁止访问
READONLY：只读
APPEND：增加
WRITE：可写
GRANT：对子对像授与能力
ignore：对设置的对像忽略所有权限
disable：禁止一些扩展特性
其它选项：
－d ：目标的可执行domain
－i:继承级别
－t：指定从某一时段到某一时段可以进行怎样的操作
－e：扩展列表
8、capabilities是什么意思？
　capabilities允许你设置广泛的系统权限，什么动作允许或不允许。例如，如果你禁止了CAP＿SETUID，那么，任何程序都不可能变换UID。每一个capabilities的描述都在/etc/lids/lids.cap文件中。
9、我怎样设置LIDS密码？
　如果在安装命令时没有询问你设置密码，那么你必须在重新引导加入LIDS的内核的系统后在命令提示符下输入如下命令：
lidsconf -P
你将被提示输入密码，两次输入密码后，系统将你设置的密码保存到/etc/lids/lids.pw文件中，此密码已通过Ripemd-160加密。设置了密码后，如果你想修改ACLS、Capabilities或当你开始LIDS会话时，就需要你提交此密码。
10、在设置密码后怎样修改此密码？
　你必须先创建一个lids free session，用“－P”选项设置你的密码（你将不会被提示输入旧密码），重新设置你的密码后，你必须告诉LIDS重新加载它的配置文件：
　lidsadm -S -- +RELOAD_CONF
11、什么是lids free session和怎样创建一个？
　一个lids free session是一个终端会话，它不受LIDS控制。在使用此工作前，你必须在编译你的加入LIDS的内核时选择下列选项：

Allow switching LIDS protections
创建一个lids free session，在提示符下输入下列命令：
lidsadm -S -- -LIDS
按提示输入密码后，就建立了一个lids free session终端，在此终端你可以启用或停用LIDS和退出此终端。
12、我怎样告诉LIDS重新加载它的配置文件？
　要全LIDS能够重新加载它的配置文件，你必须在编译你的加入LIDS的内核时选择下列选项：

Allow switching LIDS protections

Allow reloading config file
在一个lids free session终端会话下，执行下列命令让LIDS重新加载它的配置文件：
　lidsadm -S -- +RELOAD_CONF
它将重新加载下列配置文件：
/etc/lids/lids.conf #ACLS配置文件
/etc/lids/lids.cap #LIDS　capabilities配置文件
/etc/lids/lids.pw #LIDS密码文件
/etc/lids/lids.net # LIDS邮件警告配置文件
13、设置LIDS后系统全部不能使用，我该怎么办？
　你可以通过一个没有加入LIDS的内核来引导系统，或在引导加入LIDS的内核的系统时，进入GRUB命令终端，输入以下内容：（假设你的内核为lids-kernel）
grub#lids-kernel lids=0
按回车后就可以以没有LIDS配置启动系统。然后你就可以修改LIDS的配置文件来修复LIDS。
14、我将要更新或删除一个系统的二进制文件，我怎样告诉LIDS改变或删除此文件？
　无论什么时候，改变了一个文件的相关信息，你必须更新你的/etc/lids/lids.conf文件，使用下列命令完成：
　lidsadm -U
然后你必须重新加载LIDS的配置文件。
15、不重新启动，我怎样完全禁止LIDS？
　除了使用lids free session方式，LIDS还可以通过使用GLOBALL方式关闭。
　lidsadm -S -- -LIDS_GLOBAL
当LIDS＿GLOBAL被禁止，你的系统就像一个普通的没有安装LIDS的系统。重新启用LIDS＿GLOBAL，执行下列命令：
　lidsadm -S -- +LIDS_GLOBAL
16、“seal the kernel”是什么意思？
　在引导处理的最后阶段，你可以封装内核（seal the kernel），此设置会根据你的系统上的/etc/lids/lids.cap文件中的内容来设置全局功能。封装内核后你的ACLS就可以运行了。设置封装内核，在你的/etc/rc.d/rc.local文件的未尾加入如下内容：
/sbin/lidsadm -I
只有在引导时把LIDS封装进内核，你才能使用LIDS功能。
17、我怎样查看我系统中的LIDS的状态？
　只要你在编译加入LIDS的内核前选择了以下选项，就可以开启此功能：

Port scanner detector in kernel
查看LIDS现在状态用如下命令：
　lidsadm -V
18、在LIDSCONF中的subject和object是什么？
　subject是在LINUX系统上运行的程序，比如二进制文件或shell脚本。object是那些subject想访问的东西，如文件、目录或功能等。
19、不修改/etc/lids/lids.cap和重新加载配置文件，我能启用或禁用系统功能吗？
　能，但是此方法做的改变在系统关闭时不能保存。
启用功能：lidsadm -S -- +CAP_SYS_ADMIN
关闭功能：lidsadm -S -- -CAP_SYS_ADMIN
20、我重新配置了我的LIDS　ACLS，但我的改变看起来没有效果，是什么原因？
　当你重新配置LIDS时，你要做如下两件事：
（1）、重新加载配置文件
（2）、重新启动系统服务应用改变生效
21、为什么使用lidsconf -L列出我的ACLS没有反应？
　lidsconf -L必须在lids free session或LIDS＿GLOGAL被禁止的模式下才能运行。
22、当我启动系统时出现信息“read password file error”，我怎样修复此问题？
　此发生在你第一次引导进入加入了LIDS的内核的系统前，你忘记或没有设置LIDS密码。修复此问题：重新启动系统，设置LIDS密码。
23、我怎样检查LIDS已启动或已禁止？
　如果你使用　make view=1　来编译LIDSADM,那么你可以使用lidsadm -V来查看LIDS是否启用。如果它显示“LIDS＿GLOBAL　0”，那么LIDS已被禁止。如果它显示“LIDS　0”，那么可能处于某一个lids free session。如果你在编译lidsadm时没有使用VIEW选项，那么也可以使用如下几种方法来决定LIDS是否运行：
（1）、通过dmesg输出的信息。如果信息中出现<lids-version>for <kernel-vesion> starts这一行，那么LIDS就是已被启用，没有，当然是没有被启用。
（2）、你也可以试着做一些事来看LIDS是否有动作，如果没有，证明LIDS没有被启用。
24、我怎样保护文件为只读？
　lidsconf -A -o /some/file -j READONLY
此命令用保证一旦LIDS启用，任何人都不能修改或删除此文件。如果你在lids free session方式下，你就可以修改/some/file指定的文件，只要此分区不是挂载为只读方式。
25、我怎样保护一个目录为只读？
　lidsconf -A -o /some/directory -j READONLY
此命令用保证一旦LIDS启用，任何人都不能列出或删除此目录及其中的内容。如果你在lids free session方式下，你就可以修改/some/directory目录，只要分区不是挂载为只读方式。例如，你可以设置保护/etc/目录为只读方式：
　lidsconf -A -o /etc -j READONLY
26、我怎样隐藏任何人都看不到的文件或目录？
　lidsconf -A -o /some/file_or_directory -j DENY
此设置将使用任何人甚至root用户都不能访问它，如果是一个目录，那么此目录下的文件、目录都将隐藏，文件系统也一样。
27、如果没允许任何东西读取/etc/shadow文件，我将怎样在系统中认证自己？
　你可以指定某些确定的程序以只读方式访问/etc/shadow文件，这些程序是在系统认证时使用的，如login、ssh、su和vlock。例如，你可以只允许login以只读方式访问/etc/shadow文件，你就可以登录系统：
　lidsconf -A -s /bin/login -o /etc/shadow -j READONLY
28、如果我保护/etc/目录为只读方式，我怎样能够允许mount修改/etc/mtab文件？
　这样是不对的，你应该删除此文件，然后使用它的一个符号连接/proc/mounts。同时，你必须修改你的初始化脚本，使用“-n”选项来设置任何mount和umount命令。这个选项告诉mount和umount不更新/etc/mtab文件。例如，你发现在你的初始化脚本中有一行:mount -av -t nonfs,nproc，应把它改为:mount -av -n -t nonfs,nproc.
29、当LIDS活动时，我在关闭系统时我的文件系统不能被卸载？
　发生此问题的原因是你禁止了CAP＿SYS＿ADMIN的全局功能，因此你系统中的关闭脚本没有了卸载文件系统的权力。你可以指定halt脚本能卸载你的文件系统，你必须给它CAP＿SYS＿ADMIN的能力：
　lidsconf -A -s /etc/rc.d/init.d/halt -o CAP_SYS_ADMIN -i 1 -j GRANT
动作“GRANT”告诉LIDS授与子目标（/etc/rc.d/init.d/hatl)CAP_SYS_ADMIN功能，“－i 1"设置继承级别为一层。
30、为什么我不能以根用户身份启动一个服务在指定的端口上运行？
　服务运行在指定的端口（1024以下）上需要CAP＿NET＿BIND＿SERVICE功能。如果你禁止了此功能在/etc/lids/lids.cap文件中，你就不能以根用户身份启动任何一个服务运行在指定的端口上。你可以授与某个程序有此功能：
　lidsconf -A -s /usr/local/bin/apache -o CAP_NET_BIND_SERVICE 80 -J GRANT
或者在LIDS＿GLOBAL被禁止时启用此服务。
31、我怎样禁止或启用capabilities？
　在一个增加了LIDS的内核的系统中，一个叫/etc/lids/lids.cap文件中包括了所有的功能描述列表。每一个功能项前通过使用“＋”号来启用此功能，使用“－”号来禁用此功能，完成设置后你必须重新加载配置文件。
32、为什么在LIDS启用时，X　Windows系统不能工作？
　X server必须使用CAP＿SYS＿RAWIO功能才能在LIDS启用时工作。
lidsconf -A -s /path/to /your/x-server -o CAP_SYS_RAWIO -j GRANT
33、一个处理进程能继承ACLS吗？
　这是可以的，但缺省是不允许的，如果你想要允许子文件从它的父文件继承ACLS，你必须使用“－i <inheritance level>”选项，在＜inheritanc level>中指定继承级数，如为1时，只有其子可以继承，如为2时，它的子和孙都可以继承，以此类推。
34、为什么LIDS启用时，ssh和scp不能工作？
　缺省状态下，ssh和scp通过指定的端口创建远程连接，它需要CAP＿NET＿BIND＿SERVICE功能，因此你可以授与CAP＿NET＿BIN＿SERVICE功能给ssh:
lidsconf -A -s /usr/bin/ssh -o CAP_NET_BIN_SERVICE 22 -J GRANT
35、怎样设置限制访问时间？
　例如，只允许用户从早上8：00到下午6：00这段时间能登录：
lidsconf -A -s /bin/login -o /etc/shadow -t 0800-1800 -j READONLY
你也可以在“-t”选项中使用“！”，即除指定时间外所有时间能做某项工作。
36、当我想通过网络发送安全警报，哪些内核配置选项我应该选择？

Send security alerts through network

use generic mailer pseudo-script
37、在哪里指定发送LIDS警报的邮件服务器信息和e-mail地址？
在/etc/lids/lids.net文件中指定。要特别要注意的是：在指定e-mail时在E－MAIL地直的前后不能有任何空格。同时，在修改完后必须重新加载它的配置文件。
　最后，推荐一个基本的系统配置例子，其内容来自lids_faq.pdf：
　# 保护系统二进制文件
#
/sbin/lidsconf -A -o /sbin -j READONLY
/sbin/lidsconf -A -o /bin -j READONLY
# 保护所有 /usr 和 /usr/local
# (This assumes /usr/local is on a separate file system).
#
/sbin/lidsconf -A -o /usr -j READONLY
/sbin/lidsconf -A -o /usr/local -j READONLY
# 保护系统LIB
#(/usr/lib is protected above since /usr/lib generally isn’t
# on a separate file system than /usr)
#
/sbin/lidsconf -A -o /lib -j READONLY
# 保护/opt
#
/sbin/lidsconf -A -o /opt -j READONLY
# 保护系统配置文件
#
/sbin/lidsconf -A -o /etc -j READONLY
/sbin/lidsconf -A -o /usr/local/etc -j READONLY
/sbin/lidsconf -A -o /etc/shadow -j DENY
/sbin/lidsconf -A -o /etc/lilo.conf -j DENY
# 能够系统认证
#
/sbin/lidsconf -A -s /bin/login -o /etc/shadow -j READONLY
/sbin/lidsconf -A -s /usr/bin/vlock -o /etc/shadow -j READONLY
/sbin/lidsconf -A -s /bin/su -o /etc/shadow -j READONLY
/sbin/lidsconf -A -s /bin/su \
-o CAP_SETUID -j GRANT
/sbin/lidsconf -A -s /bin/su \
-o CAP_SETGID -j GRANT
# 保护引导分区

/sbin/lidsconf -A -o /boot -j READONLY
# 保护根的home目录但是允许 bash 保存历史

/sbin/lidsconf -A -o /root -j READONLY
32
Chapter 7. Sample Configurations
/sbin/lidsconf -A -s /bin/bash -o /root/.bash_history -j WRITE
# 保护系统日志

/sbin/lidsconf -A -o /var/log -j APPEND
/sbin/lidsconf -A -s /bin/login -o /var/log/wtmp -j WRITE
/sbin/lidsconf -A -s /bin/login -o /var/log/lastlog -j WRITE
/sbin/lidsconf -A -s /sbin/init -o /var/log/wtmp -j WRITE
/sbin/lidsconf -A -s /sbin/init -o /var/log/lastlog -j WRITE
/sbin/lidsconf -A -s /sbin/halt -o /var/log/wtmp -j WRITE
/sbin/lidsconf -A -s /sbin/halt -o /var/log/lastlog -j WRITE
/sbin/lidsconf -A -s /etc/rc.d/rc.sysinit \
-o /var/log/wtmp -i 1 -j WRITE
/sbin/lidsconf -A -s /etc/rc.d/rc.sysinit \
-o /var/log/lastlog -i 1 -j WRITE
# Startup

/sbin/lidsconf -A -s /sbin/hwclock -o /etc/adjtime -j WRITE
# Shutdown

/sbin/lidsconf -A -s /sbin/init -o CAP_INIT_KILL -j GRANT
/sbin/lidsconf -A -s /sbin/init -o CAP_KILL -j GRANT
/sbin/lidsconf -A -s /etc/rc.d/init.d/halt \
-o CAP_INIT_KILL -i 1 -j GRANT
/sbin/lidsconf -A -s /etc/rc.d/init.d/halt \
-o CAP_KILL -i 1 -j GRANT
/sbin/lidsconf -A -s /etc/rc.d/init.d/halt \
-o CAP_NET_ADMIN -i 1 -j GRANT
/sbin/lidsconf -A -s /etc/rc.d/init.d/halt \
-o CAP_SYS_ADMIN -i 1 -j GRANT
# Other
#
/sbin/lidsconf -A -s /sbin/update -o CAP_SYS_ADMIN

[ 本帖最后由 清源 于 2006-5-26 23:16 编辑 ]

platinum

我也贴一个，snort 和 LIDS 的比较 ^_^
http://www.linuxhall.org/modules ... e=print&sid=172

以下是Snort 與 LIDS 的長短處：

表一：
安裝        設定        易用         網絡保安        系統保安         網絡偵測         工具支援
LIDS         難 難         難         一般         很強         弱         沒有
Snort         很易         易         很易        沒有        沒有        很強        強

注： 排名次序分別為 ( 很易, 易, 一般, 難, 很難) 及 (很強, 強, 一般, 弱, 沒有)

由表一中得到的比較，LIDS與Snort是負責兩個不同方向的工作，Snort主要是用作偵測的，如果兩者一併使用，所得到的效果會是很好，由於以前已經介紹過LIDS，故今次向大家介紹Snort，一個很強的偵測系統。

如何取得及安裝

在本文撰寫時，Snort的最新版本為1.7，您可以到以下網址下載Snort 1.7。

http://www.snort.org/Files/snort-1.7.tar.gz
http://www.snort.org/Files/Current/snortrules.tar.gz

或者先簡單的講解Snort的偵測方法，Snort執行後，會不斷的聽取來自網絡的各個IP包件，然後依照一些"Rules"與這些包件比較，一旦發現如果某些包件的內容與包件的內容相同，則會被分類，或者如果該包件是攻擊類，則會立即報告出來，所以，要使您的Snort可以偵測最新及最準的攻擊等，您必須要使用最新的Ruleset，所以您需要另外的下載新Ruleset。

Snort 是需要libpcap程式庫，如果您沒有安裝，您亦可以從Snort網站或是Linux CD中找到。此外，您亦可以使用如OpenSSL或是MySQL作為Snort執行的支援。安裝方法：

# tar zxf snort-1.7.tar.gz
# cd snort-1.7
# ./configure --enable-flexresp --with-mysql=/usr/local --with-openssl=/usr/local/openssl
# make; make install

設定及啟動

我們可以把Snort運作在chroot的環境中，設定也是很簡單，首先，我們可以選定一個有足夠位置方置 Snort的Log訊息的地方，如果您會定期檢查及清除Log檔案，您可以把Snort的chroot環境放在/home/snort中，然後所需的是一個用者，執行以下的指令新增Snort這個用者：

# groupadd snort
# useradd -g "snort" -d "/home/snort" -s "/nonexists" -c "Snort User" snort
# mkdir /home/snort
# chown snort.snort /home/snort

然後，把snortrules.tar.gz這個檔案解歷在/home/snort中，解壓了 snortrules的包件後，在/home/snort內會有兩種的檔案，以"rules"為檔案伸廷的就是Snort使用的Ruleset，這些 Ruleset就是供Snort用作偵測任何網絡反應的基礎。而另一個檔案即是"snort.conf"，這是Snort的設定檔，我們不用去重新設計 Snort的Ruleset檔，只需要設定snort.conf便可以。

在 snort.conf 中，我們只需要修改數個地方便可以執行 Snort，以下是可能需要修改的地方：

- var HOME_NET
這是您的網絡或是主機的 IP，例如您只是得一台伺服器，您可以只輸入伺服器的 IP 地址，如果您的機囂有兩個以上的 IP，您可以使用這個方法：

var HOME_NET [123.45.67.89,123.45.67.90]
或是
var HOME_NET 123.45.67.0/24

-var SMTP [IP.Address]
設定您的 SMTP 伺服器位置，如果與 HOME_NET 中的不同，您只需把 $HOME_NET 移除，並加其您指定 SMTP 機器的IP便可以。

- var HTTP_SERVERS
那一台為 HTTP 伺服器，與 SMTP 中的設定相同，如成為 Web Server 的不是 HOME_NET 機器，可以指定給其他的 IP。

- var DNS_SERVERS
設定您會使用 DNS 的IP地址，並且您需要 Uncomment 以下一行：
preprocessor portscan-ignorehosts: $DNS_SERVERS

這可以防止因為 DNS 的 Lookup 而紀錄無謂的 PortScan 資料。

最後是有關紀錄部份的資料，剛才我們在編譯Snort時加進了"MySQL"的支援，為了使用 MySQL 紀錄資料，先要在 MySQL中建立 Snort 會使用的 Databases、用者名稱及密碼，執行以下指令：

# echo "CREATE DATABASE snort;" | mysql -u root -p
# grant INSERT,SELECT on snort.* to snort@localhost
然後在 Snort 的源始碼內找尋 "contrib/create_mysql"，再封行以下指令建立 Tables
# mysql -u root -p < create_mysql

完成後，別忘記在 snort.conf 中也要開動 MySQL 資料庫的支援，簡單地 Uncomment 以下數行：

ruletype redalert
{
   type alert
   output alert_syslog: LOG_AUTH LOG_ALERT
   output database: log, mysql, user=snort dbname=snort host=localhost
}

output database: log, mysql, user=snort dbname=snort host=localhost

最後的 - 執行

先是 cd 進入 /home/snort 內，然後打入這個指令：

/home/snort # snort -u snort -t /home/snort -c /home/snort/snort.conf &

-u 功能是使 snort 由 "snort" 這個用者執行，進入 chroot 的用者環境
-t 設定 Snort chroot 的目錄，提高一定的安全性
-c 指定使用的指定檔案
& 只是在背景中執行吧 　

結語

Snort 的設定與安裝都是很簡單，儘管 Snort 所做的不外是紀錄及提供偵測，可是這個工作卻不可以忽視，很多公司都有設定防火牆，而防火牆所做的是幫您防止多數的攻擊，加上使用 Snort 的強大IDS功能，網絡管理員可以即隨時知道一切 Cracker、Lamer 對公司網絡的攻擊，而同時可以改變防火牆的Rules，阻止外間而來的攻擊，這是單一防火牆不能為的。

作者：Shell Hung

清源

我也赞成二楼的意见，计算机安全不是一个软件或一个硬件防火墙就能确保万无一失的，它们应该是软件与软件之间，软件与硬件防火墙之间，IDS与防火墙之间等等相互之间的配合来完成的。
　看了二楼的回贴，我是该下载SNORT来试试。但每个人都有自己的喜好，每一个IDS也有自己的优缺点，我不强调一定要使用哪一个，这由我们自己决定。

　我的贴很少有人回复，在此谢谢二楼！