Как установить систему обнаружения вторжений в Ubuntu 12.04

Вы можете взглянуть на fail2ban, который непосредственно содержится в репозиториях (так что вы можете просто "sudo apt-get install fail2ban"). Я использую его уже много лет, и он хранил множество хакеров на моем сервере, блокируя их. Fail2ban работает, анализируя файлы журналов для указанных шаблонов (поставляется с хорошим примером конфигурации), а затем блокирует IP -адрес атакующего - например, если хакер предпринял 5 неудачных попыток войти в систему через ssh (даже для разных учетных записей), вы можете получить его IP заблокирован на определенный промежуток времени (например, 30 минут). Существуют примеры для различных услуг, просто посмотрите на домашнюю страницу для получения дополнительной информации.

Изменить: Уведомления также возможны (отправить письмо, если что-то было обнаружено).

Чтобы ответить на ваш вопрос, пошаговая настройка:

http://wiki.aanval.com/wiki/Community%3ASnort_2.9.2.3_Installation_Guide_for_Ubuntu_12.04,_with_Barnyard2,_Pulledpork,_and_Aanval

Также посмотрите этот, но выше работал лучше для меня. Не ожидайте, что что-нибудь сработает в первый раз, хотя:

http://www.symmetrixtech.com/articles/016-snortinstallguide2953.pdf