良玉的博客 点点滴滴,积水成河_良玉的博客_页游、手游linux运维工程师之路

psad的安装

在安装psad之前,需要首先从http://www.cipherdyne.org/psad/download上下载最新版本的psad。在http://www.cipherdyne.org上发布的所有程序(包括psad)都在它们各自的源代码树中捆绑了一个安装程序install.pl。一旦下载了tarball文件,最好同时验证它的MD5 sum和GnuPG签名 。可以在http://www.cipherdyne.org/public_key上找到我的GnuPG公钥。下面显示的是如何针对版本2.0.8执行这些步骤:

install.pl脚本在运行时将提示进行一些输入,包括电子邮件警报将发送给哪个电子邮件地址、目前运行在系统中的syslog守护进程的类型(syslogd、syslog-ng或metalog)、是否要求psad只分析包含特定日志前缀的iptables日志信息,以及是否将日志数据发送到DShield分布式IDS。可以手工输入相应的信息,也可以使用默认值(只需按下回车键),这样很快就将拥有一个可以正常运作的psad了。

还可以在基于Red Hat包管理程序的Linux发行版上以RPM方式安装psad、在Debian系统上以Debian软件包的方式安装psad ,或在Gentoo系统上通过Portage树安装psad。如果想在特定Linux系统上保持一种一致的软件安装方法,那么使用上述这些安装方法可能更有意义。

说明 因为psad是和iptables防火墙紧密捆绑的,所以它尚未被移植到非Linux的操作系统中。但如果不打算使用任何psad的有效回应功能,也可以将它部署到一个运行在非Linux操作系统的syslog服务器上,该服务器接收来自另一个Linux系统的iptables日志消息。

在Linux系统上成功安装了psad,就会在本地文件系统中创建几个新文件和目录。

Perl是用于开发psad主守护进程的编程语言(稍后讨论的辅助守护进程kmsgsd和psadwatchd是用C语言编写的),psad使用的几个Perl模块并没有包括在Perl核心模块集中。通过将所有这些Perl模块安装到/usr/lib/psad目录中,psad就可以将已安装在系统的Perl函数库树(通常位于/usr/lib/perl5目录中)中的Perl模块和psad需要的模块严格区分出来。

psad需要的模块有:


q   Date::Calc

q   IPTables::Parse

q  Net::Ipv4Addr

q   IPTables::ChainMgr

q   Unix::Syslog



psad由3个系统守护进程组成:psad、kmsgsd和psadwatchd。所有这些守护进程都安装到/usr/sbin目录中,而且每一个守护进程都将使用/etc/psad/psad.conf配置文件中的设置。

psad安装程序还会创建/etc/psad/archive目录,并将任何现有的psad守护进程的配置文件复制到该目录中,使得重新安装psad时可以保留旧的配置文件。install.pl程序还会把现有的psad配置结果合并到新的配置文件中,这有助于将升级的麻烦降到最低。

安装程序还将在/var目录中创建一些文件和目录:/var/lib/psad/psadfifo命名管道 、/var/log/psad目录、/var/log/psad/fwdata文件和/var/log/psad/install.log文件(install.pl脚本将安装日志写到该文件中)。当运行psad时,它的主工作目录(psad在该目录中记录与可疑网络通信相关的IP地址)是/var/log/psad。

说明 psad安装用到的这些目录并不是随意挑选的--它们都是由被称为文件系统层次结构标准(FHS)的文档所定义的标准目录。该文档明文规定了Unix文件系统目录结构中每一个目录的用途。任何期望能与该文档保持一致的应用程序都应以一种可预期的方式使用Linux目录结构,这有助于在纷乱的目录和文件中尽量维持一些有序性。FHS文档可以在http://www.pathname.com/fhs上找到。


标签: linuxpsad

作者:良玉 分类:psad 浏览:573 评论:0
留言列表
发表评论
来宾的头像