Administrators, autoreview, Vérificateurs d’utilisateurs, checkuser-log, editor, reviewer, usersnoop
3 321
modifications
« Portsentry » : différence entre les versions
Aller à la navigation
Aller à la recherche
m
aucun résumé des modifications
(Page créée avec « == Introduction == portsentry et un programme de détection et de blocage de "scan de ports" (généralement programme qui scanne votre machine à le recherche de ports ouve... ») |
mAucun résumé des modifications |
||
| Ligne 17 : | Ligne 17 : | ||
# nano /etc/portsentry/portsentry.conf | # nano /etc/portsentry/portsentry.conf | ||
Choisissez ici le niveau de surveillance: | Choisissez ici le niveau de surveillance. Laissez l'option par défaut, elle est couvre un nombre de ports raisonnables: | ||
####################### | |||
# Port Configurations # | |||
####################### | |||
# Un-comment these if you are really anal: | # Un-comment these if you are really anal: | ||
#TCP_PORTS="1,7,9,11,15,70,79,80,109,110,111,119,138,139,143,512,513,514,515,540,635,1080,1524,2000,2001,4000,4001,5742,6000,6001,6667,12345,12346, | #TCP_PORTS="1,7,9,11,15,70,79,80,109,110,111,119,138,139,143,512,513,514,515,540,635,1080,1524,2000,2001,4000,4001,5742,6000,6001,6667,12345,12346,20034,27665,30303,32771,32772,32773,32774,31337,40421,40425,49724,54320" | ||
#UDP_PORTS="1,7,9,66,67,68,69,111,137,138,161,162,474,513,517,518,635,640,641,666,700,2049,31335,27444,34555,32770,32771,32772,32773,32774,31337,54321" | #UDP_PORTS="1,7,9,66,67,68,69,111,137,138,161,162,474,513,517,518,635,640,641,666,700,2049,31335,27444,34555,32770,32771,32772,32773,32774,31337,54321" | ||
# | # | ||
| Ligne 32 : | Ligne 34 : | ||
#UDP_PORTS="1,7,9,69,161,162,513,640,700,32770,32771,32772,32773,32774,31337,54321" | #UDP_PORTS="1,7,9,69,161,162,513,640,700,32770,32771,32772,32773,32774,31337,54321" | ||
... | ... | ||
Laissez ici les options par défaut, ou ajoutez des ports que vous ne souhaitez pas surveiller: | |||
########################################### | |||
# Advanced Stealth Scan Detection Options # | |||
########################################### | |||
... | |||
ADVANCED_PORTS_TCP="1024" | |||
ADVANCED_PORTS_UDP="1024" | |||
... | |||
# Default TCP ident and NetBIOS service | |||
ADVANCED_EXCLUDE_TCP="113,139" | |||
# Default UDP route (RIP), NetBIOS, bootp broadcasts. | |||
ADVANCED_EXCLUDE_UDP="520,138,137,67" | |||
... | |||
Emplacement des fichiers de configuration, laissez les choix par défaut. | |||
###################### | |||
# Configuration Files# | |||
###################### | |||
# | |||
# Hosts to ignore | |||
IGNORE_FILE="/etc/portsentry/portsentry.ignore" | |||
# Hosts that have been denied (running history) | |||
HISTORY_FILE="/var/lib/portsentry/portsentry.history" | |||
# Hosts that have been denied this session only (temporary until next restart) | |||
BLOCKED_FILE="/var/lib/portsentry/portsentry.blocked" | |||
Par défaut BLOCK est à 0. Laissez comme ça pour vos essais, inutile de vous bloquer vous-même... Mettez à un pour mettre "en production". | Par défaut BLOCK est à 0. Laissez comme ça pour vos essais, inutile de vous bloquer vous-même... Mettez à un pour mettre "en production". | ||
################## | |||
# Ignore Options # | |||
################## | |||
... | ... | ||
# 0 = Do not block UDP/TCP scans. | # 0 = Do not block UDP/TCP scans. | ||
| Ligne 44 : | Ligne 78 : | ||
... | ... | ||
################### | |||
# Dropping Routes:# | |||
################### | |||
... | |||
# Newer versions of Linux support the reject flag now. This | |||
# is cleaner than the above option. | |||
KILL_ROUTE="/sbin/route add -host $TARGET$ reject" | |||
############### | |||
# TCP Wrappers# | |||
############### | |||
... | |||
KILL_HOSTS_DENY="ALL: $TARGET$ : DENY" | |||
Attention, dans le fichiers de configuration par défaut, l'option --log-level est fixée à DEBUG (majuscule), option qui ne fonctionne pas avec rsyslog. Ecrivez donc 'debug' en minuscules. | |||
################### | |||
# External Command# | |||
################### | |||
... | |||
KILL_RUN_CMD="/sbin/iptables -I INPUT -s $TARGET$ -j DROP && /sbin/iptables -I INPUT -s $TARGET$ -m limit --limit 3/minute --limit-burst 5 -j LOG --log-level debub --log-prefix 'Portsentry: dropping: '" | |||
Un petit coucou aux "scanneurs" de ports ? | |||
###################### | |||
# Port Banner Section# | |||
###################### | |||
PORT_BANNER="** UNAUTHORIZED ACCESS PROHIBITED *** YOUR CONNECTION ATTEMPT HAS BEEN LOGGED. GO AWAY." | |||
Préférez le mode atcp et audp (a pour advanced) c'est le plus efficace: | |||
# nano /etc/default/portsentry | # nano /etc/default/portsentry | ||
| Ligne 147 : | Ligne 211 : | ||
Le résultat doit être immédiat: | Le résultat doit être immédiat: | ||
cat /etc/hosts.deny | # cat /etc/hosts.deny | ||
... | ... | ||
ALL: 10.9.8.6 : DENY | ALL: 10.9.8.6 : DENY | ||
# iptables -S | |||
... | |||
-A INPUT -s 10.9.8.6/32 -m limit --limit 3/min -j LOG --log-prefix "Portsentry: dropping: " --log-level 7 | |||
# route | |||
Table de routage IP du noyau | |||
Destination Passerelle Genmask Indic Metric Ref Use Iface | |||
10.9.8.6 - 255.255.255.255 !H 0 - 0 - | |||
Le méchant scanner de port est définitivement bloqué... | Le méchant scanner de port est définitivement bloqué... | ||