Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 19-08-2016 17:47:57

kawer
Adhérent(e)
Lieu : Académie de la Croix-Vraie
Distrib. : Debian stable / ArchLinux
Noyau : Current
(G)UI : xfwm4
Inscription : 08-10-2013
Site Web

IDS : psad, détecteur de scan

N'aimant pas dokuwiki sur DF parceque je galère à chaque fois à trouver la page pour créer une nouvelle page, je poste ici un wiki dont je vous laisserais créer sur le wiki. Merci smile

Psad est un IDS, il vous protègera contre les scan de ports en les détectants et les bloquants. Il se base sur les journaux du firewall iptables.

Installation :

apt update && apt install psad



Pré-requis :
Dans votre fichier iptables :

iptables -A INPUT -j LOG
iptables -A FORWARD -j LOG



Le fichier psad.conf

Vous pouvez consulter le man de psad, ici on fera le strict nécessaire :

EMAIL_ADDRESSES user@domain.fr;
HOSTNAME        nom_de_la_machine;
HOME_NET        any;
EXTERNAL_NET    any;

ENABLE_SYSLOG_FILE   Y;
IPT_WRITE_FWDATA      Y;
IPT_SYSLOG_FILE       /var/log/syslog;

ENABLE_AUTO_IDS Y;
AUTO_IDS_DANGER_LEVEL 1;




On mets à jour la base de signature :

psad --sig-update



On redémarre psad :

service psad restart



Voilà, désormais ip qui font des scan de ports seront bloquer par iptables. Attention si vous scannez votre serveur à distance, vous risquez de perdre votre acces ssh.

Dernière modification par kawer (19-08-2016 17:53:57)


Rendez à César ce qui est à César et à Dieu ce qui est à Dieu -Cit. J.C.
La persévérance, c'est ce qui rend l'impossible possible, le possible probable et le probable réalisé. -Cit. Robert Half.
Dans toutes les situations, le piège c'était avant, car tu ne voyais pas les murs -Cit. Crevette

Hors ligne

Pied de page des forums