2024. március 28., csütörtök

Gyorskeresés

Útvonal

Cikkek » Számtech rovat

Debian rendszerünk biztonsága

...avagy védekezni fontos.

[ ÚJ TESZT ]

PSAD (Port Scan Attack Detector)

Segítségével blokkolni tudjuk a port szkenneléseket (nmap), figyeli a gyanús hálózati forgalmat, elemzi a tűzfal és a rendszer logjait, beállításoktól függően közbeavatkozik. (Megjegyzés: Amennyiben nem szimpatikus, vagy nem sikerül működésre bírni valamiért, akkor használhatjuk a portsentry nevű programot is, ugyanerre a célra készült és talán valamivel kisebb az erőforrásigénye is.)

Telepítés:

# apt-get install psad

Kiadjuk a következő parancsot:

# echo -e ’kern.info\t|/var/lib/psad/psadfifo’ >> /etc/syslog.conf

Újraindítjuk a logolásért felelős rendszert:

# /etc/init.d/sysklogd restart
# /etc/init.d/klogd

Végrehajtjuk a szükséges módosításokat a psad konfigurációs fájljában:

# nano /etc/psad/psad.conf

EMAIL_ADDRESSES e-mail címed;
HOSTNAME géped hostja;
HOME_NET NOT_USED;
IGNORE_PORTS udp/53, udp/5000; (portok, amelyeken nem végzünk figyelést)
ENABLE_AUTO_IDS Y;
IPTABLES_BLOCK_METHOD Y; (bekapcsoljuk az automatikus bannolást)

Újraindítjuk a psad-ot:

# /etc/init.d/psad restart

Bekapcsoljuk az iptables tűzfalban a logolást:

# iptables -A INPUT -j LOG
# iptables -A FORWARD -j LOG

Ha mindent sikeresen végrehajtottunk, akkor lekérjük a statisztikát:

# psad –S

Ilyesmit kell látnunk:

[+] psadwatchd (pid: 2540) %CPU: 0.0 %MEM: 0.0
Running since: Sun Jul 27 07:14:56 2008

[+] kmsgsd (pid: 2528) %CPU: 0.0 %MEM: 0.0
Running since: Sun Jul 27 07:14:55 2008

[+] psad (pid: 2524) %CPU: 0.0 %MEM: 0.8
Running since: Sun Jul 27 07:14:55 2008
Command line arguments: -c /etc/psad/psad.conf
Alert email address(es): mail@mailod.hu

src: dst: chain: intf: tcp: udp: icmp: dl: alerts: os_guess:
117.32.xxx.149 xx.22.zz.121 INPUT eth0 1 0 0 2 2 -
118.167.xxx.219 xx.22.zz.121 INPUT eth0 1 0 0 2 2 -
118.167.xxx.250 xx.22.zz.121 INPUT eth0 1 0 0 2 2 -
118.167.xxx.5 xx.22.zz.121 INPUT eth0 1 0 0 2 2 -
122.167.xx.11 xx.22.zz.121 INPUT eth0 4642 0 0 4 50 -
122.167.xx.80 xx.22.zz.121 INPUT eth0 0 11 0 1 2 -
123.134.xx.34 xx.22.zz.121 INPUT eth0 20 0 0 2 9 -
125.161.xx.3 xx.22.zz.121 INPUT eth0 0 9 0 1 4 -
125.67.xx.7 xx.22.zz.121 INPUT eth0 1 0 0 2 2 -

Netfilter prefix counters:
"SPAM DROP Block": 161519
"Drop Syn Attacks": 136

Total scan sources: 95
Total scan destinations: 1

Total packet counters:
tcp: 5868
udp: 164012
icmp: 2

A cikk még nem ért véget, kérlek, lapozz!

Azóta történt

Hirdetés

Copyright © 2000-2024 PROHARDVER Informatikai Kft.