侵入者をブロックしたいのですが、psadHTTPとHTTPSはブロックしないでください。たとえば、誰かが自分の専用サーバーnmapを検索した場合、psadその人は2時間ブロックする必要がありますが、ドメイン内のコンテンツは引き続き表示できるはずです。
AUTO_BLOCK_TIMEOUT私をスキャンしている人全員が2時間完全にブロックされるように値を7200に設定しました。残念ながら、攻撃者は私のページを見ることができないようにブロックされており、これは私の意図ではありません。
部分収容を設定できますかpsad?
答え1
SCAN_TIMEOUTの使用
psad一部の悪意のあるIPアドレスからのスキャン攻撃が検出された場合AUTO_BLOCK_TIMEOUT。
スキャン攻撃のみを防止したい場合は、マニュアルによると、この制限を使用することをお勧めします。
SCAN_TIMEOUT 3600;
抜粋
スキャンタイムアウト
psadが個々のIPアドレスに関連する検索(または他の疑わしいトラフィック)をタイムアウトするために使用する秒数を定義します。デフォルトは3600秒(1時間)です。 SCAN_TIMEOUT は、ENABLE_PERSISTENCE が "N" に設定されている場合にのみ使用されます。
psadを使用した自動ブロック
探索するとよくある質問psad実際、この方法で使用することをお勧めしないセクションがあります。
3.3。自動的にチェックを防ぐためにENABLE_AUTO_IDS = "Y"を設定するのは良い考えですか?
通常はそうではなく、この機能はデフォルトで無効になっています。その理由は、すべてのIPアドレスがスキャンをなりすます可能性があるためです(nmapの-Sオプションを参照)。 psadが自動的にスキャンをブロックするように設定されている場合、攻撃者はwww.yahoo.comのスキャンなどのスキャンをなりすまし、ユーザーはファイアウォールルールセットを解析してYahooのウェブサイトを閲覧できない理由を特定できます。あります。自動的に生成されたファイアウォールルールを削除するには、「psad --Flush」を実行します。さらに、「TCPアイドル検索」と呼ばれる高度な検索技術を使用するには、攻撃者がターゲットの観点から関連性がないように見えるIPアドレスに検索パケットをなりすます必要があります。 Nmapは-sIオプションを使用してアイドルスキャンを実装します。この技術の良い説明を見つけることができます。ここ。
それでは、ポート80/443を影響を受けずに残すことはできますか?
文書を表示するときに攻撃が検出されたときに使用される独自のルールを作成する以外に、これを達成する方法がわかりません。
抜粋
IPTABLES_AUTO_RULENUM
psadがINPUT、OUTPUT、およびFORWARDチェーンに自動的に生成されたiptablesブロックルールを追加するために使用する特定のルール番号を定義します(このキーワードを使用するには、ENABLE_AUTO_IDSを「Y」に設定する必要があります)。デフォルトは「1」です。