(4)我们还可以利用Linux中的iptables命令,可以切断攻击主机的连接:
| KILL_ROUTE="/usr/local/sbin/iptables -I INPUT -s $TARGET$ -j DROP" |
也可以直接把攻击者的IP记录到/etc/hosts.deny文件中,利用TCP_Wrappers保护机制来防止攻击:
| KILL_HOSTS_DENY="ALL:$TARGET$ # Portsentry blocked" |
系统默认是利用TCP_Wrappers来切断与主机之间的连接
(5)定制警告信息
我们也可以定制一条警告信息,警告攻击者。不过,手册上建议不要使用该选项,因为这样做可能会暴露主机的IDS系统。
| PORT_BANNER="** UNAUTHORIZED ACCESS PROHIBITED *** YOUR CONNECTION ATTEMPT HAS BEEN LOGGED. GO AWAY." |
修改完毕后,改变文件的权限,以保证其安全性:
| chmod 600 /usr/local/psionic/portsentry/portsentry.conf |
2、配置portsentry.ignore文件
/usr/psionic/portsentry/portsentry.ignore文件中设置了希望PortSentry忽略的主机IP,即允许合法扫描的主机地址下面是配置情况:
| #Put hosts in here you never want blocked,This includes the IP addresses #of all local interfaces on the protected host(i.e virtual host,mult-home) #keep 127.0.0.1 and 0.0.0.0 to keep people from playing games. 127.0.0.1/32 0.0.0.0 #Exclude all local interfaces 192.168.1.103 192.168.1.102 127.0.0.1 |
记得带上本机地址,以防万一。
修改完成后同样需要改变文件默认的权限:
| chmod 600 /usr/local/psionic/portsentry/portsentry.ignore |
三、启动检测模式
最后介绍一下PortSentry的启动检测模式。对应TCP和UDF两种协议方式,PortSentry分别有三种启动模式,即基本、秘密和高级秘密扫描检测模式,合计6个模式。
◆ portsentry-tcp,TCP的基本端口绑定模式;
◆ portsentry-udp,UDP的基本端口绑定模式;
◆ portsentry-stcp,TCP的秘密扫描检测模式;
