Bezpiecze±stwo system≤w Linux'owych |
Linux Security - Skanowanie
|
|
[1] [2] [3] [4] |
Dobrym narzΩdziem do wykrywania skaningu jest program
Abacus Sentry.
Dzia│a on na trzy sposoby:
Program ten umo┐liwia nam tak┐e odpowiednie zareagowanie na atak
poprzez np. w│▒czenie firewalla lub wy│▒czenie jaki╢ adres≤w ip z routingu.
Mo┐na do tego wykorzystaµ np. program ipchains.
Nale┐y przedtem odpowiednio skonfigurowaµ plik sentry.conf:
|
[root@localhost]# cat sentry.conf .. .. KILL_ROUTE="/sbin/ipchains -A input -j DENY -s $TARGET$ -l ; echo $TARGET$| mail root" .. .. |
Efektem tego bΩdzie blokada IP skanuj▒cego komputera i wys│anie sobie
maila informuj▒cego o pr≤bie skanowania naszego komputera.
Program ten ma tez opcje ignorowania np. pierwszych paru po│▒cze±, lub stworzenie listy zaufanych host≤w, kt≤re nie bΩd▒ sprawdzane. |
KLAXON
|
Jest tak┐e prostsza metoda wykrycia skanowania po przez u┐ycie narzΩdzia zwanego Klaxon. Wystarczy tylko umie╢ciµ odwo│anie w miejscu nie u┐ywanej przez nas us│ugi a czΩsto skanowanej:
|
[root@localhost]# cat /etc/inetd.conf .. .. pop-2 stream tcp nowait root /usr/sbin/klaxon/ klaxon.5x klaxon imapd pop-3 stream tcp nowait root /usr/sbin/tcpd imapd .. .. [root@localhost]# killall -HUP inetd |
Teraz wystarczy tylko sprawdzaµ w pliku /var/log/messages czy by│y
jakie╢ odwo│ania do wskazanego portu.
|