PortSentry
をテンプレートにして作成
[
トップ
] [
新規
|
一覧
|
単語検索
|
最終更新
|
ヘルプ
]
開始行:
[[LinuxSoft]]
#contents
----
* PortSentry に関する日本語情報 [#la517d29]
** PortSentry って何? [#w38162cd]
IDS としては Snort が非常に有名ですが、Snort はあくまで...
対して PortSentry は侵入(ポートスキャン)を"いまそこに...
通常のポートに対するアタックやポートスキャン、ステルス...
** URL [#i2b6b3cc]
http://sourceforge.net/projects/sentrytools/
** ライセンス [#db06221f]
Common Public License, GNU General Public License (GPL)
** PortSentry のインストール [#g582c07f]
このインストールは Red Hat Linux 7.3 で行いました。最近...
まずはアーカイブの取得と展開です。このあたりはお約束で...
$ wget http://jaist.dl.sourceforge.net/sourceforge/sentr...
$ tar xfz portsentry-1.2.tar.gz
$ cd portsentry_beta
設定ファイル portsentry_config.h を編集します。
$ vi portsentry_config.h
インストール先や hosts.deny ファイルのパスの確認です。...
#define CONFIG_FILE "/usr/local/psionic/portsentry/ports...
#define WRAPPER_HOSTS_DENY "/etc/hosts.deny"
#define SYSLOG_FACILITY LOG_DAEMON
#define SYSLOG_LEVEL LOG_NOTICE
次は portsentry.conf で検出対象とするポートを指定します。
TCP_PORTS="1,11,15,79,111,119,143,540,635,(略),49724,543...
UDP_PORTS="1,7,9,69,161,162,513,635,640,641,(略),32774,3...
ここも特に変更せず、デフォルトのまま使うことにします。
侵入検出時、ネットワークを遮断させる方法は iptables を...
# iptables support for Linux
KILL_ROUTE="/sbin/iptables -I INPUT -s $TARGET$ -j DROP"
(route コマンドを使って /sbin/route add xxx.xxx.xxx.xxx ...
次は監視対象外とするホスト情報の登録です。
$ vi portsentry.ignore
ファイルを開いて、IP アドレス、もしくはネットワーク+サ...
127.0.0.1/32
0.0.0.0
ここまできて、ようやくコンパイルです。make とうつと、使...
$ make
Usage: make <systype>
<systype> is one of: linux, debian-linux, bsd, solaris, ...
freebsd, osx, openbsd, netbsd, bsdi, aix, osf, irix, gen...
This code requires snprintf()/vsnprintf() system calls
to work. If you run a modern OS it should work on
your system with 'make generic'. If you get it to
work on an unlisted OS please write us with the
changes.
Install: make install
NOTE: This will install the package in this
directory: /usr/local/psionic
Edit the makefile if you wish to change these paths.
Any existing files will be overwritten.
いろいろ出てきますが、こちらのシステムは Red Hat Linux ...
$ make linux
# make install
必要に応じて設定ファイル /usr/local/psionic/portsentry/...
最後に起動させます。TCP と UDP を監視対象としたいので -...
# /usr/local/psionic/portsentry/portsentry -tcp
# /usr/local/psionic/portsentry/portsentry -udp
ps コマンドで問題なく動作している事が確認できます。
$ ps ax | grep port
25267 ? S 0:00 /usr/local/psionic/portsentry...
25269 ? S 0:00 /usr/local/psionic/portsentry...
最後にサーバ起動時に PortSentry も自動起動するように記...
# vi /etc/rc.d/rc.local
ファイルを開いたら末尾あたりに以下の記述を追加します。
# PortSentry
/usr/local/psionic/portsentry/portsentry -tdp
/usr/local/psionic/portsentry/portsentry -udp
** PortSentry の動作確認 [#v94e03bb]
デーモンの起動後は /var/log/messages にメッセージが表示...
Jul 24 21:13:37 nsx portsentry[25266]: adminalert: PortS...
Jul 24 21:13:37 nsx portsentry[25267]: adminalert: Going...
Jul 24 21:13:37 nsx portsentry[25267]: adminalert: Going...
(長いので略)
Jul 24 21:13:39 nsx portsentry[25269]: adminalert: Going...
Jul 24 21:13:39 nsx portsentry[25269]: adminalert: PortS...
正常稼働しているようです。問題なし。netstat -na を実行す...
では、実際にアタックを試みてみます。
こちらは外部のホストから。
$ telnet nsx.pocketstudio.jp 143
Trying 210.128.158.225...
Connected to nsx.pocketstudio.jp.
Escape character is '^]'.
* OK [CAPABILITY IMAP4REV1 LITERAL+ SASL-IR LOGIN-REFERR...
LOGINDISABLED] nsx.pocketstudio.jp IMAP4rev1 2004.349 at...
21:16:12 +0900 (JST)
001 LOGOUT
* BYE nsx.pocketstudio.jp IMAP4rev1 server terminating c...
001 OK LOGOUT completed
Connection closed by foreign host.
・・・・ん〜、、特に制限がかかってないのでは・・・?
ふつうのプロトコルだからかな。ドキュメントにも普通の通信...
$ telnet nsx.pocketstudio.jp 111
Trying 210.128.158.225...
Connected to nsx.pocketstudio.jp.
Escape character is '^]'.
Connection closed by foreign host.
おっ、蹴られた。ログを読んでみると……ばっちり不正アクセス...
Jul 24 21:20:27 nsx portsentry[25316]: attackalert: Conn...
sv.pocketstudio.jp/210.239.46.254 to TCP port: 111
Jul 24 21:20:27 nsx portsentry[25316]: attackalert: Host...
has been blocked via wrappers with string: "ALL: 210.23...
Jul 24 21:20:27 nsx portsentry[25316]: attackalert: Host...
has been blocked via dropped route using command: "/sbi...
INPUT -s 210.239.46.254 -j DROP"
/etc/hosts.deny ファイルを開いてみると、末尾にちゃんと...
ALL: 210.239.46.254
iptables でも -L オプションをつけてみると、パケットを D...
# /sbin/iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
DROP all -- sv.pocketstudio.jp anywhere
(略)
これで外部からのポートスキャンがあっても自動的に遮断し...
他にもいろいろな機能があるので、詳しくは README をご覧...
** PortSentry README [#y52fef9c]
[[PortSentry README 日本語訳>PortSentry/README 日本語訳]]
終了行:
[[LinuxSoft]]
#contents
----
* PortSentry に関する日本語情報 [#la517d29]
** PortSentry って何? [#w38162cd]
IDS としては Snort が非常に有名ですが、Snort はあくまで...
対して PortSentry は侵入(ポートスキャン)を"いまそこに...
通常のポートに対するアタックやポートスキャン、ステルス...
** URL [#i2b6b3cc]
http://sourceforge.net/projects/sentrytools/
** ライセンス [#db06221f]
Common Public License, GNU General Public License (GPL)
** PortSentry のインストール [#g582c07f]
このインストールは Red Hat Linux 7.3 で行いました。最近...
まずはアーカイブの取得と展開です。このあたりはお約束で...
$ wget http://jaist.dl.sourceforge.net/sourceforge/sentr...
$ tar xfz portsentry-1.2.tar.gz
$ cd portsentry_beta
設定ファイル portsentry_config.h を編集します。
$ vi portsentry_config.h
インストール先や hosts.deny ファイルのパスの確認です。...
#define CONFIG_FILE "/usr/local/psionic/portsentry/ports...
#define WRAPPER_HOSTS_DENY "/etc/hosts.deny"
#define SYSLOG_FACILITY LOG_DAEMON
#define SYSLOG_LEVEL LOG_NOTICE
次は portsentry.conf で検出対象とするポートを指定します。
TCP_PORTS="1,11,15,79,111,119,143,540,635,(略),49724,543...
UDP_PORTS="1,7,9,69,161,162,513,635,640,641,(略),32774,3...
ここも特に変更せず、デフォルトのまま使うことにします。
侵入検出時、ネットワークを遮断させる方法は iptables を...
# iptables support for Linux
KILL_ROUTE="/sbin/iptables -I INPUT -s $TARGET$ -j DROP"
(route コマンドを使って /sbin/route add xxx.xxx.xxx.xxx ...
次は監視対象外とするホスト情報の登録です。
$ vi portsentry.ignore
ファイルを開いて、IP アドレス、もしくはネットワーク+サ...
127.0.0.1/32
0.0.0.0
ここまできて、ようやくコンパイルです。make とうつと、使...
$ make
Usage: make <systype>
<systype> is one of: linux, debian-linux, bsd, solaris, ...
freebsd, osx, openbsd, netbsd, bsdi, aix, osf, irix, gen...
This code requires snprintf()/vsnprintf() system calls
to work. If you run a modern OS it should work on
your system with 'make generic'. If you get it to
work on an unlisted OS please write us with the
changes.
Install: make install
NOTE: This will install the package in this
directory: /usr/local/psionic
Edit the makefile if you wish to change these paths.
Any existing files will be overwritten.
いろいろ出てきますが、こちらのシステムは Red Hat Linux ...
$ make linux
# make install
必要に応じて設定ファイル /usr/local/psionic/portsentry/...
最後に起動させます。TCP と UDP を監視対象としたいので -...
# /usr/local/psionic/portsentry/portsentry -tcp
# /usr/local/psionic/portsentry/portsentry -udp
ps コマンドで問題なく動作している事が確認できます。
$ ps ax | grep port
25267 ? S 0:00 /usr/local/psionic/portsentry...
25269 ? S 0:00 /usr/local/psionic/portsentry...
最後にサーバ起動時に PortSentry も自動起動するように記...
# vi /etc/rc.d/rc.local
ファイルを開いたら末尾あたりに以下の記述を追加します。
# PortSentry
/usr/local/psionic/portsentry/portsentry -tdp
/usr/local/psionic/portsentry/portsentry -udp
** PortSentry の動作確認 [#v94e03bb]
デーモンの起動後は /var/log/messages にメッセージが表示...
Jul 24 21:13:37 nsx portsentry[25266]: adminalert: PortS...
Jul 24 21:13:37 nsx portsentry[25267]: adminalert: Going...
Jul 24 21:13:37 nsx portsentry[25267]: adminalert: Going...
(長いので略)
Jul 24 21:13:39 nsx portsentry[25269]: adminalert: Going...
Jul 24 21:13:39 nsx portsentry[25269]: adminalert: PortS...
正常稼働しているようです。問題なし。netstat -na を実行す...
では、実際にアタックを試みてみます。
こちらは外部のホストから。
$ telnet nsx.pocketstudio.jp 143
Trying 210.128.158.225...
Connected to nsx.pocketstudio.jp.
Escape character is '^]'.
* OK [CAPABILITY IMAP4REV1 LITERAL+ SASL-IR LOGIN-REFERR...
LOGINDISABLED] nsx.pocketstudio.jp IMAP4rev1 2004.349 at...
21:16:12 +0900 (JST)
001 LOGOUT
* BYE nsx.pocketstudio.jp IMAP4rev1 server terminating c...
001 OK LOGOUT completed
Connection closed by foreign host.
・・・・ん〜、、特に制限がかかってないのでは・・・?
ふつうのプロトコルだからかな。ドキュメントにも普通の通信...
$ telnet nsx.pocketstudio.jp 111
Trying 210.128.158.225...
Connected to nsx.pocketstudio.jp.
Escape character is '^]'.
Connection closed by foreign host.
おっ、蹴られた。ログを読んでみると……ばっちり不正アクセス...
Jul 24 21:20:27 nsx portsentry[25316]: attackalert: Conn...
sv.pocketstudio.jp/210.239.46.254 to TCP port: 111
Jul 24 21:20:27 nsx portsentry[25316]: attackalert: Host...
has been blocked via wrappers with string: "ALL: 210.23...
Jul 24 21:20:27 nsx portsentry[25316]: attackalert: Host...
has been blocked via dropped route using command: "/sbi...
INPUT -s 210.239.46.254 -j DROP"
/etc/hosts.deny ファイルを開いてみると、末尾にちゃんと...
ALL: 210.239.46.254
iptables でも -L オプションをつけてみると、パケットを D...
# /sbin/iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
DROP all -- sv.pocketstudio.jp anywhere
(略)
これで外部からのポートスキャンがあっても自動的に遮断し...
他にもいろいろな機能があるので、詳しくは README をご覧...
** PortSentry README [#y52fef9c]
[[PortSentry README 日本語訳>PortSentry/README 日本語訳]]
ページ名:
![[Pocketstudio.jp Linux Wiki]](image/icon.gif "[Pocketstudio.jp Linux Wiki]"){kind=icon}
