当前位置:theitroad>如何在Ubuntu 15.04 LTS上安装PSAD

如何在Ubuntu 15.04 LTS上安装PSAD

时间:2020-03-05 15:32:31  来源:igfitidea点击:

顾名思义,端口扫描攻击检测(PSAD)工具用于阻止服务器上的端口扫描。
Nmap是一种著名的工具,通常用于启动端口扫描以检测打开/关闭端口。
PSAD工具持续监控防火墙(iptables的在linux平台的情况下)日志来确定端口扫描或者发生其他任何攻击。
如果服务器受到成功攻击,PSAD也会采取措施阻止威胁。

在本文中,我们将在Ubuntu 15.04 VM上安装和配置PSAD。
目前,我们正在VM上运行以下服务。

  • Web服务器(端口80)
  • FTP服务器(端口21)
  • ssh服务器(端口22)

Netstat和telnet命令用于根据上述服务检查端口状态。

Web服务(Apache)

ftp服务(vsftpd)

SSH服务(安全shell)

安装

VM设置的详细信息如图1所示,其IP地址为192.168.1.111.

IPtables(称为linux防火墙)软件包已预先安装在所有linux平台上。
因此,在VM上安装PSAD软件包。
可以从源代码或者二进制软件包安装。
在本文中,我们将从Ubuntu存储库安装PSAD软件包。
首先,运行package update命令,然后使用以下命令安装PSAD软件包。

$sudo apt-get update

$sudo apt-get install psad

PSAD软件包需要许多依赖关系,如果从Ubuntu存储库进行安装,这些依赖关系会自动解决。
但是,从源代码中安装PSAD需要几个perl软件包。

在安装软件包期间,PSAD会提示我们配置邮件服务器,如下所示。
在本文中,我们没有为电子邮件警报设置任何SMTP服务器。

配置

PSAD使用防火墙(iptables)日志来检测计算机上的任何恶意活动。
以下命令将启用iptables输入和转发链上的数据包日志记录。

$sudo iptables -A INPUT -j LOG
$sudo iptables -A FORWARD -j LOG

为两个链启用日志后,运行以下命令以列出iptables的当前配置。

$sudo iptables -L

上面命令的输出将类似于以下所示。

Chain INPUT (policy ACCEPT)
target     prot opt source               destination
LOG        all  --  anywhere             anywhere             LOG level warning
Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
LOG        all  --  anywhere             anywhere             LOG level warning
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

PSAD配置文件,snort规则和签名位于Ubuntu平台上的/etc/psad目录下。
PSAD配置文件是/etc/psad/psad.conf,在生产服务器上部署时,它具有许多要更改的参数。
但是,在本文中,我们将更改PSAD的一些设置,以便它检测iptables日志并采取必要的措施来阻止攻击。

EMAIL_ADDRESSES   root@localhost; ##change it to get psad alerts 
HOSTNAME          test-machine; #set host name
HOME_NET          192.168.1.0/24; # Set LAN network 
EXTERNAL_NET      any; # Set Wan network 
ENABLE_SYSLOG_FILE      Y; #by default set yes

PSAD的重要配置之一是设置“ IPT_SYSLOG_FILE”参数。
默认情况下,它在/var/log/messages中搜索日志。
但是,Ubuntu上的syslog是/var/log/syslog,因此请更改路径,以便PSAD检测到恶意活动。

IPT_SYSLOG_FILE             /var/log/syslog;

我们将PSAD用作IDS/IPS,因此必须在psad.conf文件中启用ENABLE_AUTO_IDS参数。
它将自动更改iptables规则以阻止来自攻击者的扫描。

ENABLE_AUTO_IDS Y;         # disable by default
AUTO_IDS_DANGER_LEVEL 1;  #By default level is 5

PSAD的基本设置已完成,现在更新特征码,以便它可以正确识别已知的攻击类型。

sudo psad --sig-update

在计算机上启动PSAD之前,请使用Nmap工具扫描服务器。
Scanner的输出显示以下端口在机器上打开。

现在,使用以下命令启动PSAD工具,并检查其在如下图所示的状态。

# /etc/init.d/psad start
#psad -S

启用PSAD后,NmapScanner未检测到任何开放端口。

PSAD通过在iptables中添加丢弃规则来阻止攻击者(IP地址为192.168.1.102)。

相关推荐

如何在Ubuntu 18.04上安装和配置MRTG

如何在Ubuntu 18.04上安装和配置MRTG

如何在FreeBSD 10.2中安装和配置OpenVPN

如何在FreeBSD 10.2中安装和配置OpenVPN

如何在Ubuntu 14.04上安装和配置PrestaShop

如何在Ubuntu 14.04上安装和配置PrestaShop

如何在Arch Linux上安装和配置TigerVNC

如何在Arch Linux上安装和配置TigerVNC

相关推荐
最近更新
标签