良玉的博客 点点滴滴,积水成河_良玉的博客_页游、手游linux运维工程师之路

psad的黑、白名单/etc/psad/auto_dl

top: 10px; margin-bottom: 10px; padding: 0px; color: rgb(51, 51, 51); text-indent: 28px;">
对任何IDS来说,总是存在着误报的可能性。因此,每个IDS都会配备白名单的功能,它可以将某些系统网络、端口或协议排除在任何检测机制和任何自动回应功能(最重要的)之外。因为某些IP地址或网络还可能是已知的不良行为者,所以IDS还应配备黑名单功能。

psad的auto_dl文件就是用于满足这些需求的,语法如下所示:

ip地址/网络         危险级别          可选协议/可选端口

如果危险级别设置为0,psad将完全忽略相应的IP地址或网络。但当某个特定的IP地址或网络是已知的极度恶意的攻击源,那么危险级别可以设置为最高的第5级。

例如,下面两行中的第一行确保psad完全忽略来自IP地址192.168.10.3的所有数据包,第二行立即将来自10.10.1.0/24网络的发往TCP端口22(SSH)的所有通信的危险级别提升到第5级:


    192.168.10.3    0;

    10.10.1.5/64    5    tcp/22;



标签: psad黑名单白名单

作者:良玉 分类:psad 浏览:608 评论:0
留言列表
发表评论
来宾的头像