Freesco, NND, CDN, EOS
http://forum.freesco.pl/

Portsentry nie blokuje... chyba
http://forum.freesco.pl/viewtopic.php?f=22&t=10146		 Strona 1 z 1
Autor:  Dividos [ poniedziałek, 5 grudnia 2005, 08:21 ]
Tytuł:  Portsentry nie blokuje... chyba
Więc zainstalowalem port sentry, ale mam wrażenie że nie blokuje prób logowania poprzez ssh (nieautoryzowanych)

Zrobiłem taki skrypcik
: [/] [] ()
fail=`cat /var/log/auth*|grep -i Failed |wc -l`
acpt=`cat /var/log/auth*|grep -i Accepted |wc -l`
echo "OGOLEM FAiL $fail, ACCEPT: $acpt"
GeSHi © Codebox Plus


No i teraz wyniki jego działania
02 12 2005:
: [/] [] ()
OGOLEM FAiL 38900, ACCEPT: 146
GeSHi © Codebox Plus


05 12 2005:
: [/] [] ()
OGOLEM FAiL 39375, ACCEPT: 155
GeSHi © Codebox Plus


Jak widać tych prób jest o wiele więcej. Nie tego się spodziewałem po portsentry.
Natomiast w portsentry.history są tylko stare wpisy
: [/] [] ()
1133478230 - 12/02/2005 00:03:50 Host: 82.160.85.253/82.160.85.253 Port: 80 TCP Blocked
1133509323 - 12/02/2005 08:42:03 Host: router_nnd/192.168.0.1 Port: 138 UDP Blocked
1133509323 - 12/02/2005 08:42:03 Host: router_nnd/192.168.1.1 Port: 138 UDP Blocked
GeSHi © Codebox Plus


No i w procesach jest uruchomiony portsentry
ps aux:
: [/] [] ()
root       622  0.0  0.8  1300  396 ?        Ss   Dec02   0:21 /usr/sbin/portsentry -atcp
root       627  0.0  0.8  1300  396 ?        Ss   Dec02   0:00 /usr/sbin/portsentry -audp
GeSHi © Codebox Plus


W czym więc problem? CZy to działa dobrze - może ja się więcej spodziewałem niż się należało spodziewać?
Autor:  Maciek [ poniedziałek, 5 grudnia 2005, 16:30 ]
Tytuł: 
Portsentry nie blokuje nieudanych prób logowania, blokuje jedynie niektóre działania (np. skanowanie portów).
Autor:  Dividos [ wtorek, 6 grudnia 2005, 08:57 ]
Tytuł: 
A dlaczego zablokował udp 138 jeśli w konfigu ma on być pomijany?
Autor:  Maciek [ wtorek, 6 grudnia 2005, 11:13 ]
Tytuł: 
Nie sądzę, żeby zablokował. Chcesz ten port na zewnątrz otworzyć?
Autor:  Dividos [ wtorek, 6 grudnia 2005, 12:40 ]
Tytuł: 
Nie chcę żeby był widoczny, ale zobacz 1-szy moj post i tak w pliku history jest że byl zablokowany i to do sieci wewnętrznych
Autor:  Maciek [ wtorek, 6 grudnia 2005, 18:34 ]
Tytuł: 
A skonfigurowałeś w pliku ignore adresy sieci lokalnej?
Autor:  Dividos [ środa, 7 grudnia 2005, 10:12 ]
Tytuł: 
Celowo nie bo nie mam zaufania do sieci lan (ludzi)
Chodzi mi o to że w pliku konfiguracyjnym było wpisane by tych portów nie monitorował, a on i tak zablokował.

Z resztą od kilku dni nic nie było poblokowane (portsentry.history)

A w pliku ignore mam tylko 127.0.0.1
Autor:  przemek_nnd [ środa, 21 grudnia 2005, 12:10 ]
Tytuł: 
oto odpowiedź ukazała mi się dzisiaj!
: [/] [] ()
Dec 21 10:54:59 Serwer portsentry[302]: attackalert: TCP SYN/Normal scan from host: crawl-66-249-65-107.googlebot.com/66.249.
Dec 21 10:54:59 Serwer portsentry[302]: attackalert: Host 66.249.65.107 has been blocked via wrappers with string: "ALL: 66.2
Dec 21 10:55:03 Serwer portsentry[302]: attackalert: TCP SYN/Normal scan from host: crawl-66-249-65-107.googlebot.com/66.249.
Dec 21 10:55:03 Serwer portsentry[302]: attackalert: Host: crawl-66-249-65-107.googlebot.com/66.249.65.107 is already blocked
GeSHi © Codebox Plus
Autor:  przemek_nnd [ sobota, 31 grudnia 2005, 15:32 ]
Tytuł: 
W odpowiedzi na wiele pytań - wyjaśniam konfigurację portsentry:
po zainstalowaniu pacman -S portsentry
wyedytuj plik /etc/portsentry/portsentry.conf
dodaj wpis
KILL_ROUTE="iptables -I INPUT -s $TARGET$ -j DROP | echo 'iptables -I INPUT -s $TARGET$ -j DROP' >> /etc/rc.d/rc.denied"
teraz w pliku portsentry.ignore dodaj wpisy
127.0.0.1/32
192.168.1.0/24
czyli adresy komputerów które mają być pomijane przez program.
Utwórz w katalogu /etc/rc.d/ plik rc.denied
touch /etc/rc.d/rc.denied
nadaj prawa wykonywalność chmod +x rc.denied
Dodaj wpis w pliku /etc/rc.d/rc.local
/etc/rc.d/rc.denied - aby zapisane regułki iptables ładowały się przy każdym restarcie routera-serwera
Idąc dalej - twórcy NND mogliby zadbać o to aby paczka z portsentry już taki config miała :)
Autor:  tasiorek [ sobota, 31 grudnia 2005, 16:06 ]
Tytuł: 
Jedna rzecz bym zmienil: nie dopisywac rc.denied do rc.local, tylko do /etc/iptables/firewall. W koncu firewalla restartuje sie czesciej niz caly system.
Autor:  przemek_nnd [ sobota, 31 grudnia 2005, 16:29 ]
Tytuł: 
może i masz rację
Autor:  Maciek [ sobota, 31 grudnia 2005, 19:25 ]
Tytuł: 
Nie ma potrzeby dopisywania nigdzie blokowanych hostów. Są one dopisywane przez portsentry do /etc/hosts.deny i po reboocie te hosty dalej nie mają dostępu do naszego serwera.
Autor:  ziolek [ poniedziałek, 6 marca 2006, 09:42 ]
Tytuł: 
Na nowym NND portsentry narazie nie dziala.

Mecze się i walcze z configuracją ale nic z tego nie wychodzi. Pamiętam ze na starym po instalacji nic nie trzeba bylo zmieniac i ladnie blokowalo.

Zabieg dopisywania regulek do firewalla po przez plik rc.denied tez nie pomaga.

Serwerka testuje za pomoca tych testów:
http://stealthtests.lockdowncorp.com/
Strona 1 z 1 Strefa czasowa UTC+2godz.
Powered by phpBB® Forum Software © phpBB Group
https://www.phpbb.com/