Краткий обзор.
Брандмауэры помогают нам защитить сеть от вторжений. С их помощью мы выбираем какие порты открыть, а какие нет. Никто снаружи нашей сети не владеет информацией об этом, но может попытаться организовать атаку при помощи программ сканирования портов. Они покажут какие порты у нас открыты.
Как сказано во введение к PortSentry:
Сканирование портов это симптом больших проблем, которые вас ждут. Это часто является предвестником атак. PortSentry – это программа созданная для определения и ответа на сканирование портов в реальном времени. Когда сканирование обнаружено могут последовать следующие ответы:
занесение информации об инциденте в системный журнал через syslog().
Компьютер замеченный в сканировании автоматически заносится в файл “/etc/host.deny” для TCP Wrappers.
Локальный компьютер автоматически перенастраивается, чтобы направлять весь трафик от атакующего на несуществующий компьютер.
Локальный компьютер автоматически перенастраивается, чтобы блокировать все пакеты от атакующего пакетным фильтром.
Цель этой программы – дать администратору информацию о том, что их сервер исследуется.
Эти инструкции предполагают.
Unix-совместимые команды.
Путь к исходным кодам “/var/tmp” (возможны другие варианты).
Инсталляция была проверена на Red Hat Linux 6.1 и 6.2.
Все шаги инсталляции осуществляются суперпользователем “root”.
PortSentry версии 1.0
Пакеты.
Домашняя страница Logcheck:
Вы должны скачать: portsentry-1.0.tar.gz
Тарбол.
Хорошей идеей будет создать список файлов установленных в вашей системе до инсталляции PortSentry и после, в результате, с помощью утилиты diff вы сможете узнать какие файлы были установлены. Например,
До инсталляции:
find /* > Portsentry1
После инсталляции:
find /* > Portsentry2
Для получения списка установленных файлов:
diff Portsentry1 Portsentry2 >
Portsentry-Installed
Раскрываем тарбол (tar.gz).
[root@deep /]# cp portsentry-version.tar.gz /var/tmp/
[root@deep /]# cd /var/tmp
[root@deep tmp]# tar xzpf portsentry-version.tar.gz