第 2 章使用 Ansible 自动执行网络入侵检测和观察系统 (IDPS)

您可以使用 Ansible 自动执行入侵检测和构建系统 (IDPS)。对于本指南，我们使用 Snort 作为 IDPS。使用 Ansible 自动化中心来使用内容集合，如任务、角色和模块等，以创建自动化工作流。

2.1. 要求和先决条件
复制链接

在开始使用 Ansible 自动执行 IDPS 之前，请确保您具有成功管理 IDPS 所需的正确安装和配置。

已安装 Ansible 2.9 或更高版本。
SSH 连接和密钥已配置。
IDPS 软件 (Snort) 已经安装并配置。
您可以访问 IDPS 服务器 (Snort) 来强制执行新策略。

2.1.1. 验证您的 IDPS 安装
复制链接

其他资源

要验证 Snort 是否已成功配置，请通过 sudo 调用它并要求提供版本：

sudo snort --version

  $ sudo snort --version

   ,,_     -*> Snort! <*-
  o"  )~   Version 2.9.13 GRE (Build 15013)
  ""    By Martin Roesch & The Snort Team: http://www.snort.org/contact#team
        Copyright (C) 2014-2019 Cisco and/or its affiliates. All rights reserved.
        Copyright (C) 1998-2013 Sourcefire, Inc., et al.
        Using libpcap version 1.5.3
        Using PCRE version: 8.32 2012-11-30
        Using ZLIB version: 1.2.7

Copy to Clipboard

Toggle word wrap

验证该服务是否正在通过 sudo systemctl 活跃运行：

sudo systemctl status snort

$ sudo systemctl status snort
● snort.service - Snort service
   Loaded: loaded (/etc/systemd/system/snort.service; enabled; vendor preset: disabled)
   Active: active (running) since Mon 2019-08-26 17:06:10 UTC; 1s ago
  Main PID: 17217 (snort)
   CGroup: /system.slice/snort.service
           └─17217 /usr/sbin/snort -u root -g root -c /etc/snort/snort.conf -i eth0 -p -R 1 --pid-path=/var/run/snort --no-interface-pidfile --nolock-pidfile
[...]

Copy to Clipboard

Toggle word wrap

如果 Snort 服务没有运行，使用 systemctl restart snort 重新启动它并重新检查状态。

确认服务处于活动状态后，通过同时按 CTRL 和 D 退出 Snort 服务器，或者在命令行中键入 exit。所有进一步交互都将从 Ansible 控制主机通过 Ansible 进行。

第 2 章使用 Ansible 自动执行网络入侵检测和观察系统 (IDPS)

2.1. 要求和先决条件
复制链接

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

第 2 章 使用 Ansible 自动执行网络入侵检测和观察系统 (IDPS)

2.1. 要求和先决条件复制链接链接已复制到粘贴板!

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

第 2 章使用 Ansible 自动执行网络入侵检测和观察系统 (IDPS)

2.1. 要求和先决条件
复制链接