Debian-facile

kawer

Membre

Lieu : Earth

Distrib. : Debian Stable

Noyau : Current

(G)UI : Xfce

Inscription : 08-10-2013

IDS : psad, détecteur de scan

N'aimant pas dokuwiki sur DF parceque je galère à chaque fois à trouver la page pour créer une nouvelle page, je poste ici un wiki dont je vous laisserais créer sur le wiki. Merci

Psad est un IDS, il vous protègera contre les scan de ports en les détectants et les bloquants. Il se base sur les journaux du firewall iptables.

Installation :

apt update && apt install psad

Pré-requis :
Dans votre fichier iptables :

iptables -A INPUT -j LOG
iptables -A FORWARD -j LOG

Le fichier psad.conf

Vous pouvez consulter le man de psad, ici on fera le strict nécessaire :

EMAIL_ADDRESSES user@domain.fr;
HOSTNAME        nom_de_la_machine;
HOME_NET        any;
EXTERNAL_NET    any;

ENABLE_SYSLOG_FILE   Y;
IPT_WRITE_FWDATA      Y;
IPT_SYSLOG_FILE       /var/log/syslog;

ENABLE_AUTO_IDS Y;
AUTO_IDS_DANGER_LEVEL 1;

On mets à jour la base de signature :

psad --sig-update

On redémarre psad :

service psad restart

Voilà, désormais ip qui font des scan de ports seront bloquer par iptables. Attention si vous scannez votre serveur à distance, vous risquez de perdre votre acces ssh.

Dernière modification par kawer (19-08-2016 16:53:57)

---

Songez à ce que vous avez été, à ce que vous êtes, et à ce que vous serez un jour, et vous deviendrez humbles. Saint Vincent de Paul
La maladie la plus constante et la plus mortelle, mais aussi la plus méconnue de toute société, est l’indifférence. Abbé Pierre
Carpe diem, quam minimum credula postero. Horace