portsentryのインストール

portsentryはtcp/udpを監視し、ポートスキャンを検出したら、ブロックすることができる。
今回はportsentryをインストールしたときのメモ。

portsentryのインストール

portsentryのインストーラーがあるディレクトリ

/usr/ports/security/portsentry

#cd /usr/ports/security/portsentry⏎ ←インストーラーがあるディレクトリへ移動
#make install clean⏎ ←portsentryのインストール

portsentryの設定をする

設定の詳細に関してはここを参考にした。

Debian GNU/Linux を使った侵入検知
PortSentry/README 日本語訳

#cp /usr/local/etc/portsentry.conf.default /usr/local/etc/portsentry.conf⏎ ←サンプルの設定ファイルをコピーする
#chmod 640 /usr/local/etc/portsentry.conf⏎ ←コピーした設定ファイルの権限を変更する
#vi /usr/local/etc/portsentry.conf⏎ ←viで設定ファイルを開く

#KILL_ROUTE="/bin/echo 'block in log on external_interface from $TARGET$/32 to any' | /sbin/ipf -f -"
↓←コメントを外す
KILL_ROUTE="/bin/echo 'block in log on external_interface from $TARGET$/32 to any' | /sbin/ipf -f -" ←保存して閉じる

#KILL_ROUTE="/bin/echo 'block in log on external_interface from $TARGET$/32 to any' | /sbin/ipf -f -"の詳細

KILL_ROUTE

ポートスキャンを検出したらコマンドを実行する(=""内に記載のコマンド)

$TARGET$/

ポートスキャンを実行したホスト

/bin/echo ''

''内を出力
(該当するホスト名からの外部インターフェースへの内向きのパケットはすべてログに残しブロックする)

/sbin/ipf -f -

最後の-以下にechoで出力した内容を追加して実行(ipfilterのルールに追加する)

portsentryを起動する

#/usr/local/etc/rc.d/portsentry.sh start⏎ ←portsentryを起動

ps ax | grep portで起動を確認できる