我正在设置 Linux 家庭服务器,一些指南建议使用 psad 来检测入侵尝试。这些指南详细说明了如何设置 psad 并在检测到端口扫描时接收警报电子邮件。但是,他们没有解释如何对这些警报电子邮件做出反应。
当扫描发生时,我应该做什么?如果有什么事情我应该手动完成,难道不应该自动化吗?毕竟,我的服务器的安全性不应该取决于我是否能够立即关注它。如果是这样的话,警报电子邮件有什么意义呢?
答案1
我在中找到了我的问题的答案psad 常见问题解答:
3.1.如果 psad 捕获到针对我的系统的扫描,我该怎么办?
Nmap 可在互联网上免费获得,因此任何想要对您的计算机进行端口扫描的人都可以,而且他们可以非常有效地做到这一点。然而,绝大多数此类扫描相对无害,特别是如果 1) 停止它们的行为也允许您检测到它们(这是 psad 使用的方法),并且 2) 运行扫描的人是 k1dd13 之一。如果您收到来自特定 IP 的重复扫描,则可以使用 psad 警报中的 whois 信息来确定谁拥有该 IP,并直接联系他们(当然请记住,扫描可能是欺骗性的)。
所以,显然,除了善意地要求责任人停止之外,别无他法。