Forum Debian Users Gang

Dziekuje Ci serdecznie za odpowiedź.
Jednak mam dodatkowe pytanie, korzystajac z tego poradniku w instalacji i konfiguracji programu psad ktory korzysta "chyba" z ustawien pliku syslog.conf jak mam go skonfigurowac aby dzialal?
http://www.cyberciti.biz/faq/linux-detect-port-scan-attacks/

Dodam że, zalezy mi na tym aby skonfigurowac odpowiednio program PSAD dzieki ktoremu będę mial bialo na czarnym wypisane kto mnie atakuje
PS. Posiadam serwer ktory jest czesto atakowany, zrobilem reinstall systemu na debiana, wczesniej uzywalem ubuntu.

Samo skanowanie portów zdaża się czasami co minutę, i w ogóle nie ma sę czym zajmować.
Weź, zainteresuj się xtables-addons, ustaw na domyślny cel blokowanych połączen tcp 

-j TARPIT --honeypot

i  udp - cel

-j STEAL

albo np

-j REJECT --reject-with icmp-host-unreachable

, i szybko zobaczysz, że skanery portów nie są wcale straszne, ani na tyle ważne, żeby w ogóle się nimi interesować.

W dodatku systemowy firewall może bgarrdzo łądnie wyłapywać skanowania Nmapem:
http://www.cyberciti.biz/tips/linux-iptables-10-how … n-attack.html
http://www.linux-educd.pl/?p=147

Mój firewall (desktop)- tablice INPUT i FORWARD.

iptables -S 
-P INPUT DROP
-P FORWARD DROP
-P OUTPUT ACCEPT
-A INPUT  -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p udp -m state --state INVALID,NEW -j STEAL
-A INPUT -p tcp -m state --state INVALID,NEW -j TARPIT --honeypot 
-A FORWARD -o ppp+ -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

A jak koniecznie chcesz wiedzieć, kto Cię atakuje, to zainteresuj się np Honeypotem albo Snortem, względnie jakims programem do sortowania logów i generowania raportów, lub podobne akcji interaktywnych, np Swatch albo Logcheck.

Pozdrawiam
;-)

Ostatnio edytowany przez Jacekalex (2012-07-27 11:31:45)