portsentryはtcp/udpを監視し、ポートスキャンを検出したら、ブロックすることができる。
今回はportsentryをインストールしたときのメモ。
portsentryのインストール
portsentryのインストーラーがあるディレクトリ
/usr/ports/security/portsentry
#cd /usr/ports/security/portsentry⏎ ←インストーラーがあるディレクトリへ移動
#make install clean⏎ ←portsentryのインストール
portsentryの設定をする
設定の詳細に関してはここを参考にした。
Debian GNU/Linux を使った侵入検知PortSentry/README 日本語訳
#cp /usr/local/etc/portsentry.conf.default /usr/local/etc/portsentry.conf⏎ ←サンプルの設定ファイルをコピーする
#chmod 640 /usr/local/etc/portsentry.conf⏎ ←コピーした設定ファイルの権限を変更する
#vi /usr/local/etc/portsentry.conf⏎ ←viで設定ファイルを開く
#KILL_ROUTE="/bin/echo 'block in log on external_interface from $TARGET$/32 to any' | /sbin/ipf -f -"
↓←コメントを外す
KILL_ROUTE="/bin/echo 'block in log on external_interface from $TARGET$/32 to any' | /sbin/ipf -f -" ←保存して閉じる
#KILL_ROUTE="/bin/echo 'block in log on external_interface from $TARGET$/32 to any' | /sbin/ipf -f -"の詳細
- KILL_ROUTE
- ポートスキャンを検出したらコマンドを実行する(=""内に記載のコマンド)
- $TARGET$/
- ポートスキャンを実行したホスト
- /bin/echo ''
- ''内を出力
(該当するホスト名からの外部インターフェースへの内向きのパケットはすべてログに残しブロックする)- /sbin/ipf -f -
- 最後の-以下にechoで出力した内容を追加して実行(ipfilterのルールに追加する)
portsentryを起動する
#/usr/local/etc/rc.d/portsentry.sh start⏎ ←portsentryを起動
ps ax | grep portで起動を確認できる
0 件のコメント :
コメントを投稿
ご質問などあればこちらへどうぞ