我的服务器生成了此 psad 错误。我不确定这是什么意思?我思考它说 IPv6 ping 请求已被阻止,但我不确定。 如果是 ping 请求,那么它是从服务器发往另一台设备的吗?我不记得我的网络上有任何东西启用了 IPv6,所以我搞不清楚它可能是什么。 =-=-=-=-=-=-=-=-=-=-=-= Sat Mar 9 22:50:28 2019 =-=-=-=-=-=-=-=-=-=-=-= Danger level: [2] (out of 5) Source: 0000:0000:0000:...
我全新安装了 Ubuntu 16.04。我使用以下说明配置了 iptables、ufw(使用 gufw)和 psad:https://www.thefanclub.co.za/how-to/how-secure-ubuntu-1604-lts-server-part-1-basics和https://www.thefanclub.co.za/how-to/how-install-psad-inrupt-detection-ubuntu-1204-lts-server。 一切似乎都运行良好,但现在我收到大量电子邮件,抱怨我的机器(对其自身)、我的路由器和网络...
我从源代码编译了 PSAD,但是当我运行以下命令时,编译进行得很顺利: sudo psad --sig-update 我懂了: Can't load '/usr/lib/psad/x86_64-linux-gnu-thread-multi/auto/Date/Calc/Calc.so' for module Date::Calc: /usr/lib/psad/x86_64-linux-gnu-thread-multi/auto/Date/Calc/Calc.so: undefined symbol: DateCalc_Day_of_Week_to_...
我对 PSAD 还很陌生,但很想尝试一下,以便更安全地安装。但有些理解还不够 我昨天收到了以下通知: [psad-status] removed iptables block against xxx.xxx.xxx.xx 这是一个自动通知,我现在的问题是,到目前为止,我还没有理解到可以自动将 IP 列入白名单的具体原因。 这是一个相当大问题,因为我想依赖严格的行为,但如果不了解发生了什么,就无法确定。在谷歌上搜索这个特定的内容没有找到准确的信息 非常感谢你的帮助 ...
我在 Ubuntu 服务器上安装了 PSAD,然后相应地设置了 IPTables。但我仍然通过电子邮件收到此错误: 您可能只需要向 /sbin/iptables‘filter’‘INPUT’链添加一个默认日志记录规则(…) 以下是我的iptables -S规则: -P INPUT ACCEPT -P FORWARD ACCEPT -P OUTPUT ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT -A IN...
如何在 psad 中启用特定地址(或范围)的端口扫描? 默认情况下,我会从自己的监控服务中获取大量日志。我该如何告诉 psad 将我的地址或域视为受信任的地址或域? 我想避免将它们添加到 /etc/hosts.allow 文件中。 以下是日志文件消息示例: Scanned UDP ports: [36604-53945: 3 packets, Nmap: -sU] iptables chain: INPUT, 3 packets Source: a.b.c.200 DNS: ns3-cache.example.com ...
我是新手,刚刚安装了 psad。我在服务器上运行了几次 nmap,但 psad 没有记录这一点psad --Status。 我是这样配置的:http://www.thefanclub.co.za/how-to/how-install-psad-inrupt-detection-ubuntu-1204-lts-server 我的目标是防止端口检查攻击。 ...
为了使 PSAD 正常工作,我需要添加以下 iptables 规则并启用数据包日志记录: iptables -A INPUT -j LOG iptables -A FORWARD -j LOG ip6tables -A INPUT -j LOG ip6tables -A FORWARD -j LOG 我在我的系统上使用 UFW。那么,如何使用 UFW 添加这些规则? ...
嗯,我实际上是想阻止应用程序端口上的 UDP 洪水攻击,因为字符串“getstatus”导致我的应用程序由于攻击者的 IP 输入很少而产生大量输出。 我安装了 PSAD 防火墙来完成这项工作。 psad -S 在应用程序端口和扫描中的顶级端口上显示 3000,000 个已记录的数据包,但不会阻止攻击者的 IP,但是其他具有少量连接的 IP 地址会被丢弃。我认为,由于输出也发送给了攻击者,这就是为什么它不会被阻止,因为 iptables 速率限制也在做同样的事情,并且不会阻止也建立传出连接的 IP。 能猜一下为什么它不起作用吗? ...
我正在设置 Linux 家庭服务器,一些指南建议使用 psad 来检测入侵尝试。这些指南详细说明了如何设置 psad 并在检测到端口扫描时接收警报电子邮件。但是,他们没有解释如何对这些警报电子邮件做出反应。 当扫描发生时,我应该做什么?如果有什么事情我应该手动完成,难道不应该自动化吗?毕竟,我的服务器的安全性不应该取决于我是否能够立即关注它。如果是这样的话,警报电子邮件有什么意义呢? ...
我有几台安装了 Debian Buster (Gnome) 的计算机。感谢 psad 工具,我意识到它们都频繁(每天至少几次)扫描本地网络中的 udp 端口 8610-8612。 我想知道这样做的目的是什么?那是什么套餐或服务? DuckDuckGoing 没有帮助,我不知道如何参与其中。 我使用防火墙阻止了某些计算机上这些端口上的传出连接,并且没有注意到系统任何部分出现任何故障。 下面您可以看到 psad-alert 电子邮件的一部分: Danger level: [3] (out of 5) Scanned U...
我想通过 阻止入侵者psad,但不应阻止 HTTP 和 HTTPS。例如,如果有人通过 扫描我的专用服务器nmap,psad应该阻止他 2 小时,但他仍然应该看到我域中的内容。 我设置AUTO_BLOCK_TIMEOUT的值为7200,这样所有扫描我的人都被完全屏蔽了2个小时。不幸的是,攻击者也被阻止查看我的网页,这不是我的意图。 是否有可能通过 设置部分封锁psad? ...
因此,我需要 rsyslog 打开三个文件,以便将条目转发到另一台服务器。 SELinux 通过以下错误来防止这种情况发生: type=AVC msg=audit(1371186588.768:1324460): avc: denied { open } for pid=3714 comm="rsyslogd" name="named.debug.log" dev=dm-0 ino=1180551 scontext=unconfined_u:system_r:syslogd_t:s0 tcontext=unconfined_u:object_...
我的系统日志显示psad每分钟都会检测到这样的扫描。 psad: scan detected: 192.168.1.10 -> 192.168.1.1 udp: [53] udp pkts: 2 DL: 2 如果第一个地址是我的,第二个地址是我的路由器,那么这将是来自我的计算机的扫描,对吗? 这有什么值得担心的吗? ...