使用portsentry保护您的电脑(3)

来源：互联网 作者：west263.com 时间：2008-04-16

西部数码-全国虚拟主机10强！40余项虚拟主机管理功能,全国领先!双线多线虚拟主机南北访问畅通无阻!免费赠送企业邮局,.CN域名,自助建站480元起,免费试用7天,满意再付款! P4主机租用799元/月.月付免压金!

2)确定配制文档

除了protsentry.conf,portsentry还提供了一些其他的配置文档,我们能够在portsentry.conf中找到这些文档的位置:
#
# Hosts to ignore
IGNORE_FILE="/etc/portsentry/portsentry.ignore"
# Hosts that have been denied (running history)
HISTORY_FILE="/etc/portsentry/portsentry.history"
# Hosts that have been denied this session only (temporary until next restart)
BLOCKED_FILE="/etc/portsentry/portsentry.blocked"
#
/etc/portsentry/portsentry.ignore:包括了不想阻塞的任何IP地址的列表,默认是分配给本地主机的任何IP地址都被添加到此文档
/etc/portsentry/portsentry.history:此文档曾访问您的主机而被阻塞的任何IP地址的列表
/etc/portsentry/portsentry.blocked.*:此文档包括当前访问您的主机而被阻塞的任何主机IP的列表
portsentry.blocked.tcp:文档包括不恰当扫描TCP端口的主机IP地址
portsentry.blocked.udp:文档包括不恰当扫描UDP端口的主机的IP地址
访问本地主机的端口只会在当前会话中被阻塞,也就是说,知道系统reboot或portsentryRELOAD,因此,要永久的排斥这些远程主机 ,就需要引入一些其他的限制措施,例如,使用/etc/hosts.deny文档,防火墙规则或重路由等

3)选择响应方式
扫描端口,就象敲房子的门,检查是否上锁相同,大多数情况下,这表明有人在寻找您的系统的弱点,这就是为什么当另外一个主机扫描您的端口,portsentry的反应是阻塞他进一步的访问的原因!但是,没有永久阻塞访问的行为.在portsetnry.conf文档中,BLOCK_UDP 和BLOCK_TCP选项配置端口被扫描时采取的自动响应方式:
BLOCK_UDP="2"
BLOCK_TCP="2"
引号里的数字绝顶了另外的主机扫描您的端口时portsentry的反应!
@"0"表示扫描端口会被记录日志,但是并不阻塞
@"1"表示触发KILL_ROUTE和KILL_HOSTS_DENY的运行.
@"2"表示对扫描协议服务(TCP或UDP)的访问被临时阻塞并被记录,而且,假如KILL_RUN_CMD选项运行任何命令,则该命令被执行(2是默认选项)
@KILL_ROUTE:这个选项运行/sbin/route命令对远程主机到一个无响应的主机的请求重路由:
KILL_ROUTE="/sbin/route add -host $TARGET$ gw 333.444.555.666"
也能够用iptables规则拒绝访问
@HILL_HOSTS_DENY:这个选项用来拒绝对任何TCP包封保护的网络服务的请求:
KILL_HOSTS_DENY="ALL: $TARGET$"
用入侵者的IP代替$TARGET$变量,并且将所说的行加入到/etc/sysconfig/iptables里
假如远程主机的IP是1.2.3.4,那么在/etc/hots.deny中应该是这样的:
ALL:1.2.3.4

@KILL_RUN_CMD:不是用防火墙,重路由,或TCP封装拒绝远程主机的访问,而是用您喜欢的命令来响应.将BLOCK_TCP和BLOCK_UDP 选项的值设定是2,运行KILL_RUN_CMD的值响应对监控端口的扫描.如:
KILL_RUN_CMD="/path/script $TARGET$ $PORT$"
记住:不要用KILL_RUN_CMD报复扫描您的主机,因为很有可能扫描您的主机本身自己也被攻击,更有,报复,只能刺激入侵者下一步的攻击!
@PORT_BANNER:能够发送信息给通过配置PORT_BANNER选项关闭portsentry监控的人,默认是没有信息被定义的.然而,能够去掉下面的注释使用该信息(不要滥用信息):
PORT_BANNER="** UNAUTHORIZED ACCESS PROHIBITED ** YOUR CONNECTION ATTEMPT HAS BEEN LOGGED. GO AWAY."
在关闭上面描述的响应前,能够使用SCAN_TRIGGER选项来配置portsentry将接收的入侵主机的扫描号,默认配置如下:
SCAN_TRIGGER="0"
"0"意味着不接受任何入侵系统的扫描.
continue....

文章整理：西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢!

[打印] [关闭]

相关文章

Linux下增加Apache的rewrite Mo

上一篇： Linux内核结构
下一篇：关于i-node的形象比喻和正解

热点关注

IDC资讯虚拟主机域名注册托管租用 vps主机智能建站
网站运营建站经验策划盈利搜索优化网站推广免费资源
网站联盟联盟新闻联盟介绍联盟点评网赚技巧
行业资讯业界动态搜索引擎网络游戏门户动态电子商务广告传媒
网络编程 Asp.Net编程 Asp编程 Php编程 Xml编程 Access Mssql Mysql 其它
服务器技术 Web服务器 Ftp服务器 Mail服务器 Dns服务器安全防护
软件技巧其它软件 Word Excel Powerpoint Ghost Vista QQ空间 QQ FlashGet 迅雷 Internet Explorer
网页制作 FrontPages Dreamweaver Javascript css photoshop fireworks Flash
程序设计 Java技术 C/C++ VB delphi
网络知识网络协议网络安全网络管理组网方案 Cisco技术
操作系统 Win2000 WinXP Win2003 Mac OS Linux FreeBSD

版权所有西部数码(www.west263.com)
CopyRight (c) 2002~2007 west263.com all right reserved.
公司地址：四川成都市万和路90号天象大厦4楼　邮编：610031
电话总机：028-86263408 86263960 86264018 86267838 86262244 86263408
售前咨询：总机转201 202 203 204 205 206 207 208
售后服务：总机转211 212 213 214 217 218 晚上0点以后拔分机225