psad警告にどのように反応しますか?

psad警告にどのように反応しますか?

私はLinuxホームサーバーをセットアップしていますが、いくつかのガイドではpsadを使用して侵入の試みを検出することをお勧めします。このガイドでは、psadを設定する方法とポートスキャンが検出されたときに警告メールを受信する方法について詳しく説明します。しかし、これらの警告メールにどのように対応するかについては説明していません。

スキャンが発生した場合はどうすればよいですか?手動で行う必要がある場合は、自動化する必要はありませんか?結局のところ、私のサーバーのセキュリティは、サーバーにすぐに注意を払う能力に依存してはいけません。では、警告メールの要点は何ですか?

答え1

私の質問に対する答えを見つけました。psad FAQ:

3.1 psadが私のシステムのスキャンをキャプチャしたらどうなりますか?

Nmapはインターネット上で無料で利用できるため、コンピュータのポートスキャンをしたい人は誰でもできるし、非常に効果的に実行できます。しかし、これらの検査の大部分は比較的無害です。特に 1) 該当動作を停止するとこれを検出でき(psad が使用する方法) 2) 検査を実行する人が k1dd13 の 1 つである場合にはさらにそうです。特定のIPから繰り返しスキャンを受信する場合は、psad警告のwhois情報を使用して、そのIPを所有している人が誰であるかを確認し、直接連絡することができます(もちろんスキャンがなりすましになる可能性があることに注意してください)。

だから当然責任ある人に善意で中止を要請する以外にはできることはありません。

関連情報