避免恶意扫描 用PortSentry保护Linux服务器[服务器安全]

 在遭受Linux服务器被外部IP恶意扫描端口的时刻,普通系统管理员会布置一些防入侵的环境,比方snort,不过snort布置起来对比复杂,而有时刻我们只是需求避免恶意扫描罢了.这个时刻,可以用PortSentry这个工具来举行非常简单的实现.固然PortSentry被Cisco收购后不再开辟,但丝毫不影响此软件的强盛功效.
    我在查抄一台CentOS5.5服务器的安全环境时,发现很多IP在恶意扫描此服务器的端口.本来想布置snort防入侵环境的,后来发现snort环境布置非常复杂,而以上的恶意扫描完好可以用 PortSentry来实现.PortSentry是入侵检测工具中配置最简单、效果最直接的工具之一.PortSentry是Abacus工程的一个构成部份.Abacus工程的目标是成立一个基于主机的网络入侵检测系统,可以从http://www.psonic.com得到关于Abacus工程更为具体的信息.固然PortSentry被Cisco收购后不再开辟,但丝毫不影响此软件的强盛功效.PortSentry可以及时检测几近全部范例的网络扫描,并对扫描行为做出反映.一旦发现可疑的行为,PortSentry可以采纳以下一些特定办法来加强防备:
    ◆给出虚假的路由信息,把全部的信息流都重定向到一个不存在的主机;
    ◆自动将对服务器举行端口扫描的主机加到TCP-Wrappers的/etc/hosts.deny文件中去,我个人对比喜好这种方法,因为线上很多环境并非都能翻开iptables,这个选项也是PortSentry默许的功效;
    ◆操纵Netfilter机制,用包过滤程序,比方iptables和ipchain等,把全部不法数据包（来自对服务器举行端口扫描的主机）都过滤掉;
    ◆通过syslog（）函数给出一个目志消息,乃至可以返回给扫描者一段告诫信息.
    1、PortSentry的安装
    下面具体介绍PortSentry工具的安装和配置办法.
    1.从http://sourceforge.net/projects/sentrytools/下载软件的最新版portsentry-1.2.tar.gz,用root用户履行以下号令举行安装:
    #tarzxvfportsentry-1.2.tar.gz
    #cdportsentry-1.2_beta
    #make
    #makeinstall
    举行到这步时发现报错,系统生成不了protsentry履行文件,我们查看Makefile文件时发现,make背面按照操作系统的差别有很多选项.
    所以我们重新履行此步操作,将目录删除重新解紧缩
    然后我们履行makelinux,发现系统仍旧报错,以下:
    SYSTYPE=linux
    Making./portsentry.c:1585:error:missingterminating"character
    ./portsentry.c:1595:error:expected?.?.before?.?.token
    make:***[linux]Error1办理办法:
    我们翻开portsentry.c文件,在1590行左右,我们将带有Copyright1997-2003字样的那行调整为一行便可,文字有白线标志的那行代码应调整为一行
    调整后我们再履行makelinux&&makeinstall后,PortSentry顺利安装成功,其安装途径为/usr/local/psionic/portsentry,以下所示表示成功安装此软件:
    Edit/usr/local/psionic/portsentry/portsentry.confandchange
    yoursettingsifyouhaven'talready.（route,etc）
    WARNING:Thisversionandabovenowuseanew
    directorystructureforstoringtheprogram
    andconfigfiles（/usr/local/psionic/portsentry）.
    Pleasemakesureyoudeletetheoldfileswhen
    thetestingofthisinstalliscomplete.
    cc-O-Wall-DLINUX-DSUPPORT_STEALTH-o./portsentry./portsentry.c\
    ./portsentry_io.c./portsentry_util.c
    ./portsentry.c:Infunction?.ortSentryModeTCP?.
    ./portsentry.c:1187:warning:pointertargetsinpassingargument3of?.ccept?.differinsignedness
    ./portsentry.c:Infunction?.ortSentryModeUDP?.
    ./portsentry.c:1384:warning:pointertargetsinpassingargument6of?.ecvfrom?.differinsignedness
    ./portsentry.c:Infunction?.sage?.
    ./portsentry.c:1584:error:missingterminating"character
    ./portsentry.c:1585:error:?.ourceforget?.undeclared（firstuseinthisfunction）
    ./portsentry.c:1585:error:（Eachundeclaredidentifierisreportedonlyonce
    ./portsentry.c:1585:error:foreachfunctionitappearsin.）
    ./portsentry.c:1585:error:expected?.?.before?.ot?
    ./portsentry.c:1585:error:stray?.?.inprogram
    2、PortSentry的配置
    1.改正配置文件portsentry.conf
    通过PortSentry举行入侵检测,首先需求为它定制一份需求监督的端口清单,以及呼应的禁止对策.然后启动后台进程对这些端口举行检测,一旦发现有人扫描这些端口,就启动呼应的对策举行禁止.
    （1）设置端口清单
    下面给出portsentry.conf中关于端口的默许配置情形
　　以上是“避免恶意扫描 用PortSentry保护Linux服务器[服务器安全]”的内容，如果你对以上该文章内容感兴趣，你可以看看七道奇为您推荐以下文章：