Можно ли использовать Suricata в качестве эффективного IPS на одном сервере?
Я ' Мы искали эффективную систему предотвращения вторжений (IPS) для сервера Ubuntu 14.04, что-то вроде того, что Symantec или F-Prot могут предложить для сервера Windows. Я связался с крупными компаниями, которые заявили, что поддерживают продукты для Ubuntu и других дистрибутивов Linux, но в конечном итоге они являются только антивирусами и не предлагают никакой защиты от известных уязвимостей.
Я нашел документацию о Snort и Suricata в сочетании с правилами такие менеджеры, как PulledPork и OinkMaster, но по мере того, как я углублялся в это, мне казалось, что они предназначены для превращения сервера в выделенное аппаратное решение IPS для сети.
- Можно ли использовать Suricata вместо этого на существующем веб-сервере, чтобы просто обеспечить защиту от вторжений для этого сервера?
- Есть ли образец конфигурации для этого сценария?
- Будет ли это замедлять производительность так, что это было бы нецелесообразно?
Вы определенно можете использовать Suricata в качестве ips на своем веб-сервере, но в целом это не очень хорошая идея.
Возможно, идентификаторы на основе хоста лучше подходят для такой ситуации. Попробуйте посмотреть Ossec ( https://ossec.github.io ). Ossec бесплатный и очень легкий.