psad, Angreps Port Scan Detector, brukes til å oppdage de port scan angrep og annen mistenkelig trafikk ved å analysere iptables av Linux-systemer. Det er en Intrusion Detection System skrevet i Perl. Den analyserer de iptables og ip6tables loggmeldinger regelmessig for å oppdage, varsle og blokkere portsøk om nødvendig.
En Cracker kan bruke nmap eller lignende verktøy til å søke etter åpne porter nettverket ditt før du starter angrep og finne måter å bryte systemet. . Bruke psad vi kan finne port scan angrep og annen mistenkelig aktivitet
Installer psad på Ubuntu /Debian
sk @ server1: ~ $ sudo apt-get update sk @ server1: ~ $ sudo apt-get install psadUnder installasjonen vil du bli bedt om å konfigurere postfix postsystemet for å varsle port scan angrep via mail hvis noen.
Velg mail type.
Skriv inn din e-post domenenavn ex.unixmen.com.
Nå psad har blitt installert.
rsyslog Configuration
Åpne opp /etc/rsyslog.conf fil.
sk @ server1:. ~ $ sudo nano /etc/rsyslog.confAdd følgende linje
kern.info | /var /lib /psad /psadfifoLagre og avslutt filen. Start rsyslog tjenesten ved hjelp av følgende kommando
sk @ server1:. ~ $ Sudo /etc/init.d/rsyslog restartPsad Configuration
Åpne opp /etc /psad /psad. conf fil på en editor
sk @ SERVER1:.. ~ $ sudo nano /etc/psad/psad.confSetup gyldig e-id
### støtter flere e-postadresser (som en kommaseparert ### liste) .EMAIL_ADDRESSES [email protected];Enter FQDN for din maskin
### Machine hostnameHOSTNAME server1.unixmen.com;.Hvis du har bare ett nettverksgrensesnitt, satt HOME_NET å NOT_USED som vist nedenfor
HOME_NET NOT_USED;..Hvis du vil ignorere noen porter som liker UDP 53, modifisere som nedenfor
IGNORE_PORTS udp /53;Hvis du vil IDS å blokkere angrep automatisk satt følgende verdier til Y.
ENABLE_AUTO_IDS Y; IPTABLES_BLOCK_METHOD Y;Det er så mange alternativer er tilgjengelige i psad. De fleste av dem er selvforklarende. Les nøye og satt som dine krav. Her er hva du har sett ovenfor er bare en grunnleggende oppsett av psad. Lagre og avslutte psad config fil. Start psad tjenesten
sk @ server1:. ~ $ Sudo /etc/init.d/psad restartOppdater brannmur regler for IPv4 og IPv6
sk @ server1: ~ $ sudo iptables -A INPUT j LOGsk @ server1: ~ $ sudo iptables -A FORWARD j LOGsk @ server1: ~ $ sudo ip6tables -A INPUT j LOGsk @ server1: ~ $ sudo ip6tables -A FORWARD j LOGNå restart, oppdatere signaturfilen og legg psad med disse kommandoene
sk @ server1: ~ $ sudo psad -Rsk @ server1: ~ $ sudo psad --sig-updatesk @ server1:. ~ $ sudo psad - HVis Port Scan Rapporter
Tast inn følgende kommando for å vise port scan rapport
sk @ server1:. ~ $ sudo psad -Sport scan rapporten vil være lagres i /var/log/psad/status.out fil. Du kan se det senere hvis du ønsker
sk @ server1:. ~ $ Sudo cat /var/log/psad/status.outAllow Blokkert IP-
Hvis PSAD funnet og blokkert noen ip-adresser, kan du tillate det å bruke kommandoen:
sk @ server1: ~ $ sudo psad -FMen kommandoen ovenfor vil tillate alle blokkerte IP-adresser. Hvis du ønsker å tillate en bestemt ip-adresse, skriver du inn følgende kommando
sk @ server1:. ~ $ Sudo psad --fw-rm-block-ip < IP-adresse >Du kan se . detaljert logg over et bestemt grensesnitt ex.192.168.1.200 bruke følgende kommando
sk @ server1: ~ $ sudo ls /var/log/psad/192.168.1.200To vite mer psad kommando om eksempler og alternativer, se mannen sidene
sk @ server1:. ~ $ mann psadDet er det. Glad Monitoring !!! Anmeldelser